Kritische Sicherheitslücke im HipChat Plugin für Bitbucket Server, Confluence and JIRA

Atlassian hat heute einen Hinweis zu einer kritischen Sicherheitslücke für das HipChat Plugin veröffentlicht. Folgende Produkte, die das HipChat Plugin nutzen, sind betroffen: Bitbucket, Confluence und die JIRA Produkte.

Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht.

Problembeschreibung

Die Sicherheitslücke erlaubt es den Angreifer, unter verschiedenen Bedingungen auf den unterschiedlichen Produkten, die volle Kontrolle über die HipChat Instanz zu bekommen. Die Voraussetzungen dazu sind bei den Produkten recht unterschiedlich:

Bitbucket

Der Angreifer muss Admin Zugriff zum Bitbucket Server haben

Confluence

Der Angreifer benötigt Zugriff zu einem Confluence Account, der folgende Berechtigungen besitzt:
- Berechtigung einen Bereich zu erstellen (Das ist die Standardberechtigung für alle Nutzer!)
- Bereichsadmin Berechtigung für einen beliebigen Bereich
- Confluence Administrator oder System Administrator

JIRA

Der Angreifer benötigt Zugriff zu einem JIRA Account
In JIRA Versionen vor 7.0.0, z.B. 6.4.x, reicht es aus dass der Angreifer auf das Webinterface von JIRA zugreifen kann.

Der Sicherheitshinweis von Atlassian

Eine genaue Beschreibung der Lücke ist unter folgenden Links zu finden:

Problemlösung

Atlassian empfiehlt die Aktualisierung der Software auf die nachfolgend genannten Versionen oder neuer:

Bitbucket

Aktualisieren Sie den Bitbucket Server auf Version 4.9.0 oder höher
Wenn Sie nicht auf Version 4.9.0 aktualisieren können, dann nutzen Sie eine der folgenden Bugfix Versionen: 4.4.4, 4.5.3, 4.6.4, 4.7.2, 4.8.4

Confluence

Aktualisieren Sie Confluence auf Version 5.10.4 oder höher
Wenn Sie Confluence 5.9.x installiert haben und nicht auf Confluence 5.10.4 aktualisieren können, dann aktualisieren Sie auf Version 5.9.14

JIRA

Aktualisieren Sie JIRA auf Version 7.2.0 oder höher
Wenn Sie JIRA 7.1.x installiert haben und nicht auf JIRA 7.2.0 aktualisieren können, dann aktualisieren Sie auf Version 7.1.10
Wenn Sie JIRA 7.0.x installiert haben und nicht auf JIRA 7.2.0 oder 7.1.10 aktualisieren können, dann aktualisieren Sie auf 7.0.11

Sollte es Ihnen nicht möglich sein Bitbucket, Confluence oder JIRA zu aktualisieren, dann wird als Workaround empfohlen, das HipChat Plugin zu deinstallieren oder zu deaktivieren.

Wir sind da

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen. Wir sind langjähriger Partner von Atlassian und unterstützen Sie ebenfalls gern bei der Lizenzierung.

The post Kritische Sicherheitslücke im HipChat Plugin für Bitbucket Server, Confluence and JIRA appeared first on Communardo Techblog.

Kritische Sicherheitslücke im HipChat Plugin für Bitbucket Server, Confluence and JIRA

Problembeschreibung

Der Sicherheitshinweis von Atlassian

Problemlösung

Wir sind da

Trending Articles

Stehenden Stern auf der Motorhaube nachrüsten

SAP HR Tabellen

Aktivierungsanleitung erweiterte Menüs Hörmann Drehtorantrieb RotaMatic

Spurstange Axialgelenk links ausgeschlagen bzw. leichtes Spiel

Fehler code 03022 Lokaler Datenbus 4

Einstellfahrplan Michl3088's Sovol SV01 mit Extrudr BioFusion Grau

W639 Vito Viano Beifahrer Doppelsitz gegen Einzelsitz tauschen

Alarmanlage deaktivieren/Stumm stellen

AW: Störung im Einzugsmotor drücken.

W222 Fernbedienung Fond Entertainment anlernen/koppeln

Fehlercode P1263

Nummernschildbeleuchtung komplett wechseln

Fehler 8011F9 und 801228: Elektrischer Zuheizer, Powermanagement

7 Gang DSG Fehler P177D

Dualbau GmbH

„Ein besonderes Kind“, Professor Doktor Ralf Höcker (Köln) vertieft Zweifel...

DAG, Remove Exchange

HILFE VW PHAETON Mit Motorstörung

Volvo V50 1.6D 2009 / Motor geht immer wieder in den Notlauf / DPF

Binomialverteilung: Keimgarantie von 95% bei Blumenzwiebeln