Atlassian patcher Jira

Af Eskil Sørensen, 27/04/22

Kritisk authentication bypass-sårbarhed i samarbejdsværktøjet Jira.

Atlassian har udsendt en advarsel om en kritisk sårbarhed i Jira-softwaren. En sårbarhed, der kan bruges af en ekstern, uautoriseret angriber til at omgå autentifikationen. Det skriver The Hacker News.

Jira er et værktøj til udvikling og udgivelse af software, som gør det muligt at dele opgaverne i et team, så alle kan se, hvad der foregår, hvad der er sket og hvor i en udviklingsproces, et projekt befinder sig på.

Fejlen i Jira har id’et CVE-2022-0540, og med en score på 9,9 ud af 10 på CVSS-skalaen ligger sårbarheden i den allerhøjeste ende. Fejlen findes i Jiras godkendelsesramme, Jira Seraph. Metoden til udnyttelse vil være for en ekstern, uautoriseret angriber at sende en specielt udformet HTTP-anmodning for at omgå godkendelses- og autorisationskrav i WebWork-handlinger ved hjælp af en berørt konfiguration, skriver Atlassian i sin advisory.

Følgende produkter er omfattet af sårbarheden.

Jira Core Server, Jira Software Server og Jira Software Data Center: Alle versioner før 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x før 8.20. 6 og 8.21.x
Jira Service Management Server og Jira Service Management Data Center: Alle versioner før 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x før 4.20.6, og 4.21.x
Faste Jira- og Jira Service Management-versioner er 8.13.18, 8.20.6 og 8.22.0 og 4.13.18, 4.20.6 og 4.22.0.

Atlassian skriver ifølge ZDNet, at fejlen kun påvirker første- og tredjepartsapps, hvis de er installeret i en af de førnævnte Jira- eller Jira Service Management-versioner, og at de bruger en sårbar konfiguration.

Brugere anbefales at opdatere til en af de patchede versioner for at afbøde potentielle udnyttelsesforsøg. Hvis det ikke er muligt at patche med det samme, anbefales brugere at opdatere de berørte apps til en ’fixed version’ eller deaktivere dem helt.