Untergeordnete Seiten
  • JIRA Security Advisory 17-05-2012
Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Inhaltsverzeichnis

XML Parsing Lücke

Schweregrad der Lücke

Gemäß der Klassifizierung von Atlassian hat diese Lücke den Schweregrad der höchsten Kategorie 'hoch'. Atlassian unterscheidet zwischen den Kategorien niedrig, mittel, hoch und kritisch.

Bewertung des Schweregrads durch //SEIBERT/MEDIA

Analog zu den Kategorien niedrig, mittel, hoch und kritisch stuft //SEIBERT/MEDIA die Lücke für seine Kunden unterschiedlich nach der Umgebung und Art des Betriebs wie folgt ein:

Umgebung / Art des Betriebs

Kategorie

Betrieb im Intranet / Kein Zugriff aus dem Internet

niedrig

Öffentlicher Zugriff / Zugriff aus dem Internet möglich

mittel

Beschreibung

Es existiert eine Sicherheitslücke im XML-Parser von JIRA, die einen authentifizierten Benutzer/Angreifer ermöglicht, eine Denial of Service (DoS) Attacke gegen den JIRA-Server auszuführen.

Betroffene Versionen

Alle Versionen einschließlich Version 5.0.0 sind betroffen.

Das Plugin Gliffy sowie The Tempo sind von dieser Lücke ebenso betroffen.

Workarounds / Risikominimierung

Es wird empfohlen, den Patch anzuwenden oder ein Upgrade durchzuführen. Kunden können jedoch folgende Maßnahme(n) ergreifen, um das Risiko eines Angriffs zu minimieren:

  1. Deaktivieren Sie den anonymen Zugriff

Behebung

Die Sicherheitslücke lässt sich durch ein Upgrade oder das Anwenden von Patches beheben. Die Sicherheitslücke wurde in JIRA 5.0.1 und höher behoben. Kann kein Upgrade durchgeführt werden, lassen sich folgende Versionen von JIRA patchen:

  • JIRA 4.4.5
  • JIRA 4.3.4
  • JIRA 4.2.4
  • JIRA 4.1.2

Das 'Tempo'-Plugin sowie 'Gliffy* müssen gemäß der Tabelle ebenfalls aktualisiert werden.

Plugin

JIRA 5.0

JIRA 4.4

JIRA 4.3

JIRA 4.2

Gliffy

4.2

4.2

4.2

4.2

The Tempo

7.0.3

6.5.0.2

6.4.3.1

6.4.3.1

Referenzen