Atlassian hat gestern Abend, am 20. Oktober 2021, für Jira Service Management (ehem. Jira Service Desk) einen Patch für die kritische Sicherheitslücke „Jira Service Management CVE-2018-10054“ veröffentlicht.
Diese Lücke ermöglicht es, eigenen Code auf den Servern auszuführen, und betrifft sowohl Data Center- als auch Server–Kunden. Die Atlassian Cloud Produkte sind hiervon allerdings nicht betroffen!
Wir empfehlen ein schnellstmögliches Update auf eine aktuelle Jira-Version
Wer ist betroffen?
Betroffen sind ausschließlich Betreiber:Innen, welche selbst gehostete Jira Service Management im Data Center oder auf Server-Instanzen der folgenden Versionen einsetzen:
- Dieser Hinweis deckt eine kritische Sicherheitslücke in Versionen der Insight – Asset Management-App vor 8.9.3 auf.
- Diese Anwendung ist mit Jira Service Management Data Center und Server (vor 4.14 als Jira Service Desk bekannt) ab Version 4.15.0 gebündelt. Alle Versionen von Jira Service Management Data Center und Server ≥ 4.15.0 und < 4.20 sind betroffen.
Im Detail sind folgende Versionen betroffen:
Insight – Asset Management – Marketplace download version:
- All 5.x versions
- All 6.x versions
- All 7.x versions
- All 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.x, 8.6.x, 8.7.x, 8.8.x versions
- All 8.9.x versions before 8.9.3
Jira Service Management Data Center and Server version:
- All 4.15.x versions (Insight v. 9.0.x bundled)
- All 4.16.x versions (Insight v. 9.0.x bundled)
- All 4.17.x versions (Insight v. 9.0.x bundled)
- All 4.18.x versions (Insight v. 9.0.x bundled)
- All 4.19.x versions (Insight v. 9.1.0 bundled)
Was ist zu tun?
Der Hersteller schlägt natürlich vor, auf die neueste Version zu aktualisieren. Hierbei ist jedoch auch Vorsicht geboten:
Ein Update der Insight Asset Management App bedingt, dass Jira auch ein gewisses Level an Aktualität hat, um die Kompatibilität gewährleisten zu können. Hierfür muss die Jira Version mindestens 8.12. betragen.
Sollte ein Update akut nicht möglich sein, bietet Atlassian auch einen temporären Work-Around an.
Die Bedrohung “CVE-2018-10054“ erfordert zeitnahes Handeln! Daher empfehlen wir Ihnen, sich direkt mit dem IT-Partner Ihres Vertrauens in Verbindung zu setzen.