Inhaltsverzeichnis
XML Parsing Lücke
Schweregrad der Lücke
Gemäß der Klassifizierung von Atlassian hat diese Lücke den Schweregrad der höchsten Kategorie 'hoch'. Atlassian unterscheidet zwischen den Kategorien niedrig, mittel, hoch und kritisch.
Bewertung des Schweregrads durch //SEIBERT/MEDIA
Analog zu den Kategorien niedrig, mittel, hoch und kritisch stuft //SEIBERT/MEDIA die Lücke für seine Kunden unterschiedlich nach der Umgebung und Art des Betriebs wie folgt ein:
Umgebung / Art des Betriebs |
Kategorie |
|---|---|
Betrieb im Intranet / Kein Zugriff aus dem Internet |
niedrig |
Öffentlicher Zugriff / Zugriff aus dem Internet möglich |
mittel |
Beschreibung
Es existiert eine Sicherheitslücke im XML-Parser von JIRA, die einen authentifizierten Benutzer/Angreifer ermöglicht, eine Denial of Service (DoS) Attacke gegen den JIRA-Server auszuführen.
Betroffene Versionen
Alle Versionen einschließlich Version 5.0.0 sind betroffen.
Das Plugin Gliffy sowie The Tempo sind von dieser Lücke ebenso betroffen.
Workarounds / Risikominimierung
Es wird empfohlen, den Patch anzuwenden oder ein Upgrade durchzuführen. Kunden können jedoch folgende Maßnahme(n) ergreifen, um das Risiko eines Angriffs zu minimieren:
- Deaktivieren Sie den anonymen Zugriff
Behebung
Die Sicherheitslücke lässt sich durch ein Upgrade oder das Anwenden von Patches beheben. Die Sicherheitslücke wurde in JIRA 5.0.1 und höher behoben. Kann kein Upgrade durchgeführt werden, lassen sich folgende Versionen von JIRA patchen:
- JIRA 4.4.5
- JIRA 4.3.4
- JIRA 4.2.4
- JIRA 4.1.2
Das 'Tempo'-Plugin sowie 'Gliffy* müssen gemäß der Tabelle ebenfalls aktualisiert werden.
Plugin |
JIRA 5.0 |
JIRA 4.4 |
JIRA 4.3 |
JIRA 4.2 |
|---|---|---|---|---|
Gliffy |
4.2 |
4.2 |
4.2 |
4.2 |
The Tempo |
7.0.3 |
6.5.0.2 |
6.4.3.1 |
6.4.3.1 |