Atlassian Jira Service Management – Sicherheitslücke

Joachim Schenk
2 Min
21.10.21
Digital Process Solutions  
#Atlassian  #Jira Service Management  #Patch  #Security  

Atlassian hat gestern Abend, am 20. Oktober 2021, für Jira Service Management (ehem. Jira Service Desk) einen Patch für die kritische Sicherheitslücke „Jira Service Management CVE-2018-10054“ veröffentlicht.
Diese Lücke ermöglicht es, eigenen Code auf den Servern auszuführen, und betrifft sowohl Data Center- als auch Server–Kunden. Die Atlassian Cloud Produkte sind hiervon allerdings nicht betroffen!

Wir empfehlen ein schnellstmögliches Update auf eine aktuelle Jira-Version

Wer ist betroffen?

Betroffen sind ausschließlich Betreiber:Innen, welche selbst gehostete Jira Service Management im Data Center oder auf Server-Instanzen der folgenden Versionen einsetzen:

  • Dieser Hinweis deckt eine kritische Sicherheitslücke in Versionen der Insight – Asset Management-App vor 8.9.3 auf.
  • Diese Anwendung ist mit Jira Service Management Data Center und Server (vor 4.14 als Jira Service Desk bekannt) ab Version 4.15.0 gebündelt. Alle Versionen von Jira Service Management Data Center und Server 4.15.0 und < 4.20 sind betroffen.

Im Detail sind folgende Versionen betroffen:

Insight – Asset Management – Marketplace download version:

  • All 5.x versions
  • All 6.x versions
  • All 7.x versions
  • All 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.x, 8.6.x, 8.7.x, 8.8.x versions
  • All 8.9.x versions before 8.9.3

Jira Service Management Data Center and Server version:

  • All 4.15.x versions (Insight v. 9.0.x bundled)
  • All 4.16.x versions (Insight v. 9.0.x bundled)
  • All 4.17.x versions (Insight v. 9.0.x bundled)
  • All 4.18.x versions (Insight v. 9.0.x bundled)
  • All 4.19.x versions (Insight v. 9.1.0 bundled)

Was ist zu tun?

Der Hersteller schlägt natürlich vor, auf die neueste Version zu aktualisieren. Hierbei ist jedoch auch Vorsicht geboten:
Ein Update der Insight Asset Management App bedingt, dass Jira auch ein gewisses Level an Aktualität hat, um die Kompatibilität gewährleisten zu können. Hierfür muss die Jira Version mindestens 8.12. betragen.
Sollte ein Update akut nicht möglich sein, bietet Atlassian auch einen temporären Work-Around an.

Die Bedrohung “CVE-2018-10054“ erfordert zeitnahes Handeln! Daher empfehlen wir Ihnen, sich direkt mit dem IT-Partner Ihres Vertrauens in Verbindung zu setzen.

Joachim Schenk

System Engineer

Joachim Schenk ist seit Mitte 2021 Atlassian Consultant bei SVA und beschäftigt sich dort mit Themen rund um den Bereich Enterprise Service Management, Kollaboration sowie Beratung und Implementierungen zum Herstellers Atlassian. Hierbei bringt er seine über 10-jährige Erfahrung als Consultant, Projekt-Manager, IT-Leiter gewinnbringend für den Kunden ein.

Weitere Themen

Business Continuity Management

Container

Digital Workspace

Internet Of Things