Insight, eine Anwendung fürs Asset- und Konfigurationsmanagement im Zusammenspiel mit Jira Service Management Data Center und Server, wies eine als kritisch eingestufte und aus der Ferne ausnutzbare Sicherheitslücke auf. Ein Angreifer mit niedrigen Zugriffsrechten hätte unter bestimmten Voraussetzungen beliebigen Java-Code auf dem Server zur Ausführung bringen können (Remote Code Execution, RCE). Die Jira-Entwickler haben aktualisierte Bundles aus Service Management Data Center, Server und Insight sowie eine abgesicherte Standalone-Version der Insight-App veröffentlicht. Nutzer sollten die Software möglichst zeitnah aktualisieren.
Zusätzliche Informationen zur Schwachstelle liefert auch der NVD-Eintrag zu CVE-2018-10054.
Abgesichert sind Insight ab Version 8.9.3 sowie Jira Service Management Data Center und Server 4.20.0. Letzteres Software-Bundle enthält Insight 9.1.2. Informationen zur (versionsabhängigen) Vorgehensweise beim Update sowie zur Kompatibilität von Insight 8.9.3 mit verschiedenen Ausgaben von Jira Service Management Data Center und Server sind dem Advisory zu entnehmen.
Quelle: heise
H2-Funktion via Insight für RCE ausnutzbar
Laut Atlassians Jira Service Management Security Advisory 2021-10-20 basiert CVE-2018-10054 auf einer Kombination aus Insights Datenbank-Import-Feature und einer nativen Funktion der H2 Database Engine, die standardmäßig mit der Jira-Software gebündelt ist. Die Funktion könne via Insight zur RCE missbraucht werden – unabhängig davon, ob die betreffende Import-Konfiguration gespeichert worden oder H2 vorher jemals als Ziel-DB verwendet worden sei. Voraussetzung für einen Angriff sei allerdings die Anmeldung als Jira-Benutzer in Kombination mit bestimmten Berechtigungen ("Insight administrator" oder "Object Schema Manager").Zusätzliche Informationen zur Schwachstelle liefert auch der NVD-Eintrag zu CVE-2018-10054.
Verwundbare Versionen und Updates
Einen Überblick über alle betroffenen Ausgaben von Jira Service Management Data Center und Server sowie der Insight-App liefert Jiras Advisory. Ausdrücklich nicht betroffen ist die Cloud-Fassung von Jira Service Management.Abgesichert sind Insight ab Version 8.9.3 sowie Jira Service Management Data Center und Server 4.20.0. Letzteres Software-Bundle enthält Insight 9.1.2. Informationen zur (versionsabhängigen) Vorgehensweise beim Update sowie zur Kompatibilität von Insight 8.9.3 mit verschiedenen Ausgaben von Jira Service Management Data Center und Server sind dem Advisory zu entnehmen.
Quelle: heise