Inhaltsverzeichnis

XML Parsing Lücke

Schweregrad der Lücke

Gemäß der Klassifizierung von Atlassian hat diese Lücke den Schweregrad der höchsten Kategorie 'hoch'. Atlassian unterscheidet zwischen den Kategorien niedrig, mittel, hoch und kritisch.

Bewertung des Schweregrads durch //SEIBERT/MEDIA

Analog zu den Kategorien niedrig, mittel, hoch und kritisch stuft //SEIBERT/MEDIA die Lücke für seine Kunden unterschiedlich nach der Umgebung und Art des Betriebs wie folgt ein:

Umgebung / Art des Betriebs

Kategorie

Betrieb im Intranet / Kein Zugriff aus dem Internet

niedrig

Öffentlicher Zugriff / Zugriff aus dem Internet möglich

mittel

Beschreibung

Es existiert eine Sicherheitslücke im XML-Parser von JIRA, die einen authentifizierten Benutzer/Angreifer ermöglicht, eine Denial of Service (DoS) Attacke gegen den JIRA-Server auszuführen.

Betroffene Versionen

Alle Versionen einschließlich Version 5.0.0 sind betroffen.

Das Plugin Gliffy sowie The Tempo sind von dieser Lücke ebenso betroffen.

Workarounds / Risikominimierung

Es wird empfohlen, den Patch anzuwenden oder ein Upgrade durchzuführen. Kunden können jedoch folgende Maßnahme(n) ergreifen, um das Risiko eines Angriffs zu minimieren:

  1. Deaktivieren Sie den anonymen Zugriff

Behebung

Die Sicherheitslücke lässt sich durch ein Upgrade oder das Anwenden von Patches beheben. Die Sicherheitslücke wurde in JIRA 5.0.1 und höher behoben. Kann kein Upgrade durchgeführt werden, lassen sich folgende Versionen von JIRA patchen:

  • JIRA 4.4.5
  • JIRA 4.3.4
  • JIRA 4.2.4
  • JIRA 4.1.2

Das 'Tempo'-Plugin sowie 'Gliffy* müssen gemäß der Tabelle ebenfalls aktualisiert werden.

Plugin

JIRA 5.0

JIRA 4.4

JIRA 4.3

JIRA 4.2

Gliffy

4.2

4.2

4.2

4.2

The Tempo

7.0.3

6.5.0.2

6.4.3.1

6.4.3.1

Referenzen

Dieser Inhalt wurde zuletzt am 22.05.2012 aktualisiert.

Der Inhalt auf dieser Seite ist schon seit einer Weile nicht mehr aktualisiert worden. Das muss kein Nachteil sein. Oft überdauern unsere Seiten Jahre, ohne wirklich unnütz zu werden.

Alte Inhalte können falsch, irreführend oder überholt sein. Bitte nutzen Sie das Formular oder den Live-Chat auf dieser Seite oder kontaktieren Sie uns via E-Mail unter content@seibert.group, wenn Sie Zweifel, Fragen, Anregungen oder Änderungswünsche haben.