Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Jetzt updaten: Jira-Team schließt kritische Sicherheitslücke in Insight-App

Insight, eine Anwendung fürs Asset- und Konfigurationsmanagement im Zusammenspiel mit Jira Service Management Data Center und Server, wies eine als kritisch eingestufte und aus der Ferne ausnutzbare Sicherheitslücke auf. Ein Angreifer mit niedrigen Zugriffsrechten hätte unter bestimmten Voraussetzungen beliebigen Java-Code auf dem Server zur Ausführung bringen können (Remote Code Execution, RCE). Die Jira-Entwickler haben aktualisierte Bundles aus Service Management Data Center, Server und Insight sowie eine abgesicherte Standalone-Version der Insight-App veröffentlicht. Nutzer sollten die Software möglichst zeitnah aktualisieren.

H2-Funktion via Insight für RCE ausnutzbar​

Laut Atlassians
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
basiert CVE-2018-10054 auf einer Kombination aus Insights Datenbank-Import-Feature und einer nativen Funktion der H2 Database Engine, die standardmäßig mit der Jira-Software gebündelt ist. Die Funktion könne via Insight zur RCE missbraucht werden – unabhängig davon, ob die betreffende Import-Konfiguration gespeichert worden oder H2 vorher jemals als Ziel-DB verwendet worden sei. Voraussetzung für einen Angriff sei allerdings die Anmeldung als Jira-Benutzer in Kombination mit bestimmten Berechtigungen ("Insight administrator" oder "Object Schema Manager").

Zusätzliche Informationen zur Schwachstelle liefert auch der
Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Verwundbare Versionen und Updates​

Einen Überblick über alle betroffenen Ausgaben von Jira Service Management Data Center und Server sowie der Insight-App liefert
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Ausdrücklich nicht betroffen ist die Cloud-Fassung von Jira Service Management.

Abgesichert sind Insight ab Version 8.9.3 sowie Jira Service Management Data Center und Server 4.20.0. Letzteres Software-Bundle enthält Insight 9.1.2. Informationen zur (versionsabhängigen) Vorgehensweise beim Update sowie zur Kompatibilität von Insight 8.9.3 mit verschiedenen Ausgaben von Jira Service Management Data Center und Server sind dem Advisory zu entnehmen.
Quelle: heise
 
Zum Vergrößern anklicken....

Ähnliche Themen

O
  • Artikel
Hardware & Software Druck-Management-Lösung: Sicherheitslücken gefährden Papercut-Server
Antworten
0
Aufrufe
547
opapa
O
u040201
  • Artikel
Hardware & Software Alert! Citrix: Updates schließen kritische Zero-Day-Lücke in Netscaler ADC und Gateway
Antworten
0
Aufrufe
881
u040201
u040201
u040201
  • Artikel
Hardware & Software Bitbucket: Kritische Sicherheitslücke gefährdet Unternehmen
Antworten
0
Aufrufe
777
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Kritische Sicherheitslücke in Fortinet-Firewalls erlaubt Admin-Zugriff
Antworten
1
Aufrufe
481
u040201
u040201
u040201
  • Artikel
Hardware & Software Alert! Patchday: Microsoft meldet fünf Zero-Days, teils ohne Update
Antworten
0
Aufrufe
1K
u040201
u040201
Zurück
Oben