bitvoodoo Advisories
Space shortcuts
Space Tools
bitvoodoo Advisories BVADVIS

Versions Compared

Old Version 12

changes.mady.by.user Unknown User (niklas.becker@bitvoodoo.ch)

Saved on

compared with

New Version Current

changes.mady.by.user Unknown User (niklas.becker@bitvoodoo.ch)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Added Atlassian FAQ


English

Contents


German

Inhalte


French

Contenu

Table of Contents


Page properties


Date

 

Product
  • Jira Core Server
  • Jira Software Server
  • Jira Software Data Center
  • Jira Service Management Server
  • Jira Service Management Data Center
VulnerabilityCritical
CVECVE-2022-0540
Official link

Jira Security Advisory 2022-04-20




Jira Server and Data Center Security Advisory - Authentication Bypass in Seraph - CVE-2022-0540

English

Dear customer,

on the 20th April 2022 22:00 PM UST, Atlassian issued a Security Advisory for Jira Server & Data Center. The Cloud versions of the applications as well as other Atlassian products are not affected.

What you need to know

Atlassian discovered a security vulnerability regarding an authentication bypass in the web authentication framework, Jira Seraph. Although the vulnerability is in the core of Jira, it affects first and third party apps that specify the use of some specific roles. A remote, unauthenticated attacker could exploit this by requesting a specially crafted HTTP request to bypass authentication and authorization requirements in WebWork actions using an affected configuration.

An app is only affected by CVE-2022-0540 when both of the following conditions are true:

  • It’s installed in one of the affected Jira or Jira Service Management versions listed above.

  • It’s using a configuration vulnerable to CVE-2022-0540.

Affected Versions

Info

All versions include Jira Server & Data Center

Jira Core, Jira Software

  • All versions before 8.13.18

  • 8.14.x

  • 8.15.x

  • 8.16.x

  • 8.17.x

  • 8.18.x

  • 8.19.x

  • 8.20.x before 8.20.6

  • 8.21.x

Jira Service Management

  • All versions before 4.13.18

  • 4.14.x

  • 4.15.x

  • 4.16.x

  • 4.17.x

  • 4.18.x

  • 4.19.x

  • 4.20.x before 4.20.6

  • 4.21.x

Apps

  • Insight - Asset Management

    • Versions 8.x and earlier are available from the Atlassian Marketplace

    • Versions 9.x are bundled with Jira Service Management Server and Data Center 4.15.0 and later

  • Mobile Plugin for Jira

    • Bundled with Jira Server, Jira Software Server and Data Center 8.0.0 and later

    • Bundled with Jira Service Management Server and Data Center 4.0.0 and later

  • Marketplace Apps


Fixed Versions

Jira Core, Jira Software

  • 8.13.18
  • 8.20.6
  • 8.22.0

Jira Service Management

  • 4.13.18

  • 4.20.6

  • 4.22.0

You can download the latest versions from the download pages for Jira Core or Jira Software or Jira Service Management.

Please Note: These are the first versions that include the fix for CVE-2022-0540. More current bug fix releases are available for the releases listed above. Atlassian recommends upgrading to the most current bug fix version.


What should I do?

Localtab Group


Localtab
activetrue
titleJira Server & Data Center
tabIconbvicon-server

You use Jira Server or Data Center 

Update

Installing a fixed version of Jira or Jira Service Management is the best way to remediate CVE-2022-0540. Once a fixed version has been installed, all apps in your instance are protected against CVE-2022-0540 and no further action is required.

Update Jira to one of the listed Fixed Versions.


Workaround

If you’re unable to install a fixed version of Jira or Jira Service Management and you’re using any affected apps, refer to the list of affected apps in the section "Affected Versions" above. If non-affected versions of those apps are available, update any affected apps.

  • If updates with fix are available for Marketplace apps, update the respective apps.
  • If no version with fix is available, disable the respective apps.


Warning

DO NOT disable Insight - Asset Management on the following versions of Jira Service Management:

  • 4.19.x

  • 4.20.x < 4.20.3

In these versions of Jira Service Management, disabling Insight - Asset Management causes all of Jira Service Management to be disabled.

For more information on how to disable the Insight - Asset Management app, refer to this Jira KB article.



Localtab
titleJira Cloud
tabIconbvicon-cloud

You use Jira Software, Jira Service Management or Jira Work Management Cloud

Tip

You are not affected by this Security Advisory.

No need for action.



Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Your Jira Server or Data Center  is hosted with bitvoodoo

Update

Installing a fixed version of Jira or Jira Service Management is the best way to remediate CVE-2022-0540. Once a fixed version has been installed, all apps in your instance are protected against CVE-2022-0540, and no further action is required.

We can offer you an update to a fixed version at short notice.

  • If you have a "LTS Release" Update Package, we will implement an update free of charge.
  • Else, ask bitvoodoo as soon as possible to update Jira to one of the listed Fixed Versions.


Workaround

bitvoodoo will help you determine which apps are affected and will implement workarounds where possible.

Further Reading

Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.



German

Sehr geehrte Kunden,

am 20. April 2022 22:00 PM UST hat Atlassian ein Security Advisory für Jira Server & Data Center veröffentlicht. Die Cloud-Versionen der Anwendungen sowie andere Atlassian-Produkte sind nicht betroffen.

Was Sie wissen müssen

Atlassian hat eine Sicherheitsschwachstelle entdeckt, die eine Umgehung der Authentifizierung im Web-Authentifizierungs-Framework Jira Seraph betrifft. Die Schwachstelle befindet sich zwar im Kern von Jira, betrifft aber auch Apps von Erst- und Drittanbietern, die die Verwendung bestimmter Rollen vorgeben. Ein nicht authentifizierter Angreifer könnte dies ausnutzen, indem eine speziell erstellte HTTP-Anfrage verwendet wird, um die Authentifizierungs- und Autorisierungsanforderungen in WebWork-Aktionen mit einer betroffenen Konfiguration zu umgehen.

Eine App ist nur von CVE-2022-0540 betroffen, wenn beide der folgenden Bedingungen erfüllt sind:

  • Sie verwenden eine der oben aufgeführten betroffenen Versionen von Jira oder Jira Service Management.

  • Es wird eine App mit einer Konfiguration verwendet, die für CVE-2022-0540 anfällig ist.

Betroffene Versionen

Info

Alle Versionen beziehen sich auf Jira Server & Data Center

Jira Core, Jira Software

  • All versions before 8.13.18

  • 8.14.x

  • 8.15.x

  • 8.16.x

  • 8.17.x

  • 8.18.x

  • 8.19.x

  • 8.20.x before 8.20.6

  • 8.21.x

Jira Service Management

  • All versions before 4.13.18

  • 4.14.x

  • 4.15.x

  • 4.16.x

  • 4.17.x

  • 4.18.x

  • 4.19.x

  • 4.20.x before 4.20.6

  • 4.21.x

Apps

  • Insight - Asset Management

    • Versionen 8.x und niedriger (bezogen als standalone App aus dem Atlassian Marketplace)

    • Versionen 9.x (bundled mit Jira Service Management Server & Data Center 4.15.0 und höher)

  • Mobile Plugin for Jira

    • Bundled mit Jira Server, Jira Software Server & Data Center 8.0.0  und höher

    • Bundled mit Jira Service Management Server & Data Center 4.0.0 und höher

  • Marketplace Apps


Fix-Versionen

Jira Core, Jira Software

  • 8.13.18
  • 8.20.6
  • 8.22.0

Jira Service Management

  • 4.13.18

  • 4.20.6

  • 4.22.0

Sie können die neuesten Versionen von den Download-Seiten herunterladen: Jira CoreJira SoftwareJira Service Management

Bitte beachten Sie: Dies sind die ersten Versionen, die den Fix für CVE-2022-0540 enthalten. Aktuellere Bugfix-Versionen sind für die oben aufgeführten Versionen verfügbar. Atlassian empfiehlt ein Upgrade auf die aktuellste Bug-Fix-Version.


Was soll ich unternemen?

Localtab Group


Localtab
activetrue
titleJira Server & Data Center
tabIconbvicon-server

Sie verwenden Jira Server oder Data Center 

Update

Die Installation einer Version mit Fix von Jira oder Jira Service Management ist der beste Weg, um CVE-2022-0540 zu lösen. Sobald eine Version mit Fix installiert wurde, sind alle Apps in Ihrer Instanz vor CVE-2022-0540 geschützt und es sind keine weiteren Massnahmen erforderlich.

Aktualisieren Sie Jira auf eine der aufgelisteten Fix-Versionen.


Workaround

Wenn Sie keine Fix-Version von Jira oder Jira Service Management installieren können und eine der betroffenen Apps verwenden, sehen Sie sich die Liste der betroffenen Anwendungen im Abschnitt "Betroffene Versionen" an.

  • Wenn Updates mit Fix für Marketplace Apps verfügbar sind, aktualisieren Sie die jeweiligen Apps. 
  • Wenn keine Version mit Fix verfügbar ist, deaktivieren Sie die jeweiligen Apps.


Warning

Deaktivieren Sie Insight - Asset Management NICHT, wenn Sie die folgenden Versionen von Jira Service Management verwenden:

  • 4.19.x

  • 4.20.x < 4.20.3

In diesen Versionen von Jira Service Management führt die Deaktivierung von Insight - Asset Management dazu, dass das gesamte Jira Service Management komplett wird.

Weitere Informationen zur Deaktivierung von Insight - Asset Management finden Sie in diesem this Jira KB article.



Localtab
titleJira Cloud
tabIconbvicon-cloud

Sie verwenden Jira Software, Jira Service Management oder Jira Work Management Cloud

Tip

Sie sind von diesem Security Advisory nicht betroffen.

Es besteht kein Handlungsbedarf.



Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Ihr Jira Server oder Data Center wird durch bitvoodoo gehostet

Update

Die Installation einer Version mit Fix von Jira oder Jira Service Management ist der beste Weg, um CVE-2022-0540 zu lösen. Sobald eine Version mit Fix installiert wurde, sind alle Apps in Ihrer Instanz vor CVE-2022-0540 geschützt und es sind keine weiteren Massnahmen erforderlich.

Wir können Ihnen ein Update auf eine fixe Version anbieten.

  • Wenn Sie ein Update-Paket "LTS Release" haben, führen wir ein kostenloses Update durch.
  • Oder fragen Sie bitvoodoo frühzeitig an, Ihr Jira auf eine Fix-Version zu updaten.


Workaround

bitvoodoo wird Ihnen dabei helfen, die betroffenen Apps zu bestimmen und, wenn möglich, Workarounds zu implementieren.


Weitere Informationen zum Thema

Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch.



French

Cher client,

le 20 avril 2022 à 23:00 UTC, Atlassian a publié un avis de sécurité pour Jira Server & Data Center. Les versions Cloud des applications ainsi que les autres produits Atlassian ne sont pas concernés.

Ce que vous devez savoir

Atlassian a découvert une vulnérabilité de sécurité concernant un contournement d'authentification dans le cadre d'authentification web, Jira Seraph. Bien que la vulnérabilité se trouve dans le noyau de Jira, elle affecte les applications internes et externes qui spécifient l'utilisation de certains rôles spécifiques. Un attaquant distant et non authentifié pourrait exploiter cette vulnérabilité en demandant une URL spécialement conçue pour contourner les exigences d'authentification et d'autorisation dans les actions WebWork utilisant une configuration affectée.

Une application n'est affectée par CVE-2022-0540 que si les deux conditions suivantes sont remplies :

  • Elle est installée dans l'une des versions affectées de Jira ou de Jira Service Management listées ci-dessus.

  • Elle utilise une configuration vulnérable au CVE-2022-0540.

Versions affecées

Info

Toutes les version concernent Jira Serveur et Data Center


Jira Core, Jira Software

  • Toutes les versions antérieures à 8.13.18

  • 8.14.x

  • 8.15.x

  • 8.16.x

  • 8.17.x

  • 8.18.x

  • 8.19.x

  • 8.20.x antérieures à 8.20.6

  • 8.21.x

Jira Service Management

  • Toutes les versions antérieures à 4.13.18

  • 4.14.x

  • 4.15.x

  • 4.16.x

  • 4.17.x

  • 4.18.x

  • 4.19.x

  • 4.20.x antérieures à 4.20.6

  • 4.21.x

Apps

  • Insight - Asset Management

    • Les versions 8.x et antérieures sont disponibles sur Atlassian Marketplace

    • Les versions 9.x sont fournies avec Jira Service Management Server et Data Center 4.15.0 et ultérieur.

  • Mobile Plugin for Jira

    • Fourni avec Jira Server, Jira Software Server et Data Center 8.0.0 et supérieur

    • Fourni avec Jira Service Management Server et Data Center 4.0.0 et supérieur

  • Marketplace Apps

Versions corrigées

Jira Core, Jira Software

  • 8.13.18
  • 8.20.6
  • 8.22.0

Jira Service Management

  • 4.13.18

  • 4.20.6

  • 4.22.0

Vous pouvez télécharger les dernières versions depuis les pages de téléchargement des sites suivants Jira Core ou Jira Software ou Jira Service Management.

Attention: Ce sont les premières versions qui incluent le correctif pour CVE-2022-0540. Des versions plus récentes de correction de bogues sont disponibles pour les versions listées ci-dessus. Atlassian recommande d'effectuer une mise à niveau vers la version de correction de bogue la plus récente.


Que dois-je faire?

Localtab Group


Localtab
activetrue
titleJira Server & Data Center
tabIconbvicon-server

Vous Utilisez Jira Serveur our Data center

Mise à jour

L'installation d'une version corrigée de Jira ou de Jira Service Management est la meilleure façon de remédier au problème CVE-2022-0540. Une fois qu'une version corrigée a été installée, toutes les applications de votre instance sont protégées contre le CVE-2022-0540 et aucune autre action n'est requise.

Mettez à jour Jira vers l'une des versions corrigées répertoriées.


Mesure de contournement

Si vous ne parvenez pas à installer une version corrigée de Jira ou de Jira Service Management et que vous utilisez des applications concernées, consultez la liste des applications concernées dans la section "Versions concernées" ci-dessus. Si des versions non affectées de ces applications sont disponibles, mettez à jour toutes les applications affectées.

  • Si des mises à jour avec correctif sont disponibles pour les applications Marketplace, mettez à jour les applications respectives.
  • Si aucune version avec correctif n'est disponible, désactivez les applications respectives.


Warning

NE PAS désactiver Insight - Asset Management sur les versions suivantes de Jira Service Management :

  • 4.19.x

  • 4.20.x < 4.20.3

Dans ces versions de Jira Service Management, la désactivation de Insight - Asset Management entraîne la désactivation de l'ensemble de Jira Service Management.

Pour plus d'informations sur la manière de désactiver l'application Insight - Asset Management, reportez-vous à la section suivante



Localtab
titleJira Cloud
tabIconbvicon-cloud

Vous utilisez Jira Software, Jira Service Management ou Jira Work Management Cloud

Tip

Vous n'êtes pas concerné pas la vulnérabilité

Aucune action nécessaire



Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Votre Jira Server ou Data Center est hébergé par bitvoodoo

Mise à jour

L'installation d'une version corrigée de Jira ou de Jira Service Management est la meilleure façon de remédier au problème CVE-2022-0540. Une fois qu'une version corrigée a été installée, toutes les applications de votre instance sont protégées contre le CVE-2022-0540, et aucune autre action n'est requise.

Nous pouvons vous proposer une mise à jour vers une version corrigée.

  • Si vous disposez d'un paquet de mise à jour "LTS Release", nous mettrons en place une mise à jour gratuitement.
  • Sinon, demandez rapidement à bitvoodoo de mettre à jour Jira vers l'une des versions fixes répertoriées.


Contournement

bitvoodoo vous aidera à déterminer quelles applications sont concernées et mettra en place des solutions de contournement si possible.

Plus d'information : 

Support

Si vous avez encore des questions ou des remarques concernant cet advisory, veuillez contacter le support bitvoodoo via support.bitvoodoo.ch.




bitvoodoo Advisories BVADVIS