bitvoodoo Advisories
Space shortcuts
Space Tools
bitvoodoo Advisories BVADVIS

Versions Compared

Old Version 2

changes.mady.by.user Lukas Schneider

Saved on

compared with

New Version Current

changes.mady.by.user Daniele Talerico

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Warning

This is a public space:

For the draft, please restrict the page during creation and
remove this warning when page is published


English

Contents


German

Inhalte


French

Contenu

Table of Contents


Page properties


Date

 

Product

Jira:

  • Jira Core Server

  • Jira Software Server

  • Jira Software Data Center

Jira Service Management (JSM):

  • Jira Service Management Server

  • Jira Service Management Data Center

VulnerabilityHigh
CVECVE-2022-26135
Official link
TBU Atlassian Partners Advisory 2022-06-29
Jira Server Security Advisory 29nd June 2022



Jira Mobile - Full-Read Server Side Request Forgery in Mobile Plugin for Jira Data Center and Server - CVE-2022-26135


CVE-2022-26135 - Full-Read Server Side Request Forgery in Mobile Plugin for Jira Data Center and Server
English

Dear customer,

on the 30th 29th of June 2022  1AM 2022 7PM CEST, Atlassian issued a Security Advisory for Jira Server & Jira Data Center. The Cloud versions of the applications as well as other Atlassian products are not affected.

What you need to know

A full-read server-side request forgery exists in Mobile Plugin for Jira, which is bundled with Jira and Jira Service Management. It is exploitable by any authenticated user (including a user who joined via the sign-up feature). It specifically affects the batch HTTP endpoint used in Mobile Plugin for Jira. It is possible to control the HTTP method and location of the intended URL through the method parameter in the body of the vulnerable endpoint.

Affected Versions

Info

Jira Core Server, Jira Software Server, and Jira Software Data Center:

  • Versions after 8.0 and before 8.13.22

  • 8.14.x

  • 8.15.x

  • 8.16.x

  • 8.17.x

  • 8.18.x

  • 8.19.x

  • 8.20.x before 8.20.10

  • 8.21.x

  • 8.22.x before 8.22.4

Jira Service Management Server and Data Center:

  • Versions after 4.0 and before 4.13.22

  • 4.14.x

  • 4.15.x

  • 4.16.x

  • 4.17.x

  • 4.18.x

  • 4.19.x

  • 4.20.x before 4.20.10

  • 4.21.x

  • 4.22.x before 4.22.4

What should I do?

You use Confluence Server or Confluence Data Center 

Update

Currently there is no fixed version, as soon as Atlassian releases a new version, we will update this page and we will inform affected customers.

LTS Update Package Customers will get an update to the latest LTS release free of charge as soon as possible.

Workaround
Localtab Group


You use Confluence Cloud

Localtab
activetrue
titleConfluence Jira Server & Data Center
tabIconbvicon-server

You use Jira Server or Jira Data Center 

Update

Currently there is no fixed version, as soon as Atlassian releases a new version, we will update this page.

Workaround

There are currently no fixed versions of Confluence Server and Confluence Data Center available. In the interim, customers should work with their security team to consider the best course of action. Options to consider include:

  • Restricting access to Confluence Server and Data Center instances from the internet.

  • Disabling Confluence Server and Data Center instances.

If you are unable to take the above actions implementing a WAF (Web Application Firewall) rule which blocks URLs containing ${ may reduce your risk.

This advisory will be updated as fixes become available..

Localtab
titleConfluence Cloud
tabIconbvicon-cloud
Tip

You are not affected by this Security Advisory.

No need for action.

Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud
Tip

A workaround has been implemented to secure instances hosted on the bitvoodoo cloud. We will update the instances as soon as the fixed version is available.

Fix

To address this issue,

we have

Atlassian released:

  • Jira Core Server, Jira Software Server, and Jira Software Data Center versions:

    • 8.13.22

    • 8.20.10

    • 8.22.4 

    • 9.0.0

  • Jira Service Management Server and Data Center versions:

    • 4.13.22

    • 4.20.10

    • 4.22.4 

    • 5.0.0

You can download the latest versions from the download pages for Jira Core, Jira Software, or Jira Service Management.

Please note, these are the first versions that include the fix for CVE-2022-26135. More current bug fix releases are available for the releases listed above. Atlassian recommends upgrading to the most current bug fix version.

Mitigation

Installing a fixed version of Jira or Jira Service Management is the surest way to remediate CVE-2022-26135. If you are unable to immediately upgrade Jira or Jira Service Management, then as a temporary workaround, you can manually upgrade Mobile Plugin for Jira Data Center and Server (com.atlassian.jira.mobile.jira-mobile-rest) to the versions specified in this section (or disable the plugin). Depending on which version of Jira you have, the app might not be listed under "user-installed" apps. if so, check for it under "System" apps. It might also have different name in this case look for the app with the App Key com.atlassian.jira.mobile.jira-mobile-rest.

The following versions of the Mobile Plugin for Jira app contain a fix for this issue:

  • 3.1.5 (compatible with Jira 8.13.x and JSM 4.13.x)

  • 3.2.15 (compatible with Jira 8.20.x and 8.22.x, compatible with JSM 4.20.x and 4.22.x)


Localtab
titleJira Cloud
tabIconbvicon-cloud

You use Jira Cloud

Tip

You are not affected by this Security Advisory.

No need for action.



Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

You use Jira Server or Jira Data Center on servers operated by bitvoodoo

Mitigation
Tip

The mitigation has been implemented to secure instances hosted on the bitvoodoo cloud. We have disabled the app on the instances where an update, due to the installed version of Jira, was not possible.

Update

LTS Update Package Customers will get contacted to discuss the need of an update.



Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.


German

Sehr geehrte Kunden,

Am 29. Juni 2022 19:00 Uhr CEST hat Atlassian ein Security Advisory für Jira Server & Data Center veröffentlicht. Die Cloud-Versionen der Anwendungen sowie andere Atlassian-Produkte sind nicht betroffen.

Was Sie wissen müssen

Im Mobile Plugin for Jira, das mit Jira Software, Jira Core und Jira Service Management mitgeliefert wird, existiert eine Full-Read Server-Side Request Forgery. Sie kann von jedem authentifizierten Benutzer ausgenutzt werden (auch von einem Benutzer, der sich über die Anmeldefunktion angemeldet hat). Sie betrifft insbesondere den Batch-HTTP-Endpunkt, der im Mobile Plugin for Jira verwendet wird. Es ist möglich, die HTTP-Methode und den Ort der beabsichtigten URL über den Methodenparameter im Body des anfälligen Endpunkts zu steuern.

Betroffene Versionen

Info

Jira Core Server, Jira Software Server, und Jira Software Data Center:

  • Versions nach 8.0 und vor 8.13.22

  • 8.14.x

  • 8.15.x

  • 8.16.x

  • 8.17.x

  • 8.18.x

  • 8.19.x

  • 8.20.x vor 8.20.10

  • 8.21.x

  • 8.22.x vor 8.22.4

Jira Service Management Server und Data Center:

  • Versionen nach 4.0 und vor 4.13.22

  • 4.14.x

  • 4.15.x

  • 4.16.x

  • 4.17.x

  • 4.18.x

  • 4.19.x

  • 4.20.x vor 4.20.10

  • 4.21.x

  • 4.22.x vor 4.22.4

Was soll ich tun?

Localtab Group


Localtab
activetrue
titleJira Server & Data Center
tabIconbvicon-server

Sie nutzen Jira Server oder Jira Data Center 

Update

Diese Sicherheitslücke wurde in den folgenden von Atlassian veröffentlichten Versionen geschlossen:

  • Jira Core Server, Jira Software Server, und Jira Software Data Center Versionen

    • 8.13.22

    • 8.20.10

    • 8.22.4 

    • 9.0.0

  • Jira Service Management Server und Data Center Versionen

    • 4.13.22

    • 4.20.10

    • 4.22.4 

    • 5.0.0

Sie können die neusten Versionen von der Download Seiten für Jira Core, Jira Software, oder Jira Service Management herunterladen.

Bitte beachten Sie, dass dies die ersten Versionen sind, welche einen Fix für CVE-2022-26135 enthalten. Für die oben aufgeführten Versionen sind weitere Bugfix-Versionen verfügbar. Atlassian empfiehlt ein Upgrade auf die aktuellste Bug-Fix-Version.

Mitigation

Die Installation einer korrigierten Version von Jira oder Jira Service Management ist der sicherste Weg, um CVE-2022-26135 zu beheben. 

Wenn Sie nicht in der Lage sind, Jira oder Jira Service Management sofort zu aktualisieren, können Sie als vorübergehenden Workaround das Mobile Plugin for Jira Data Center and Server (com.atlassian.jira.mobile.jira-mobile-rest) manuell auf die in diesem Abschnitt angegebenen Versionen aktualisieren (oder das Plugin deaktivieren). 

Je nachdem, welche Version von Jira Sie nutzen, ist die App möglicherweise nicht unter "vom Benutzer installierte" Apps aufgeführt. Wenn dies der Fall ist, suchen Sie sie unter "System"-Apps. Möglicherweise hat sie auch einen anderen Namen. In diesem Fall suchen Sie nach der App mit dem App-Schlüssel com.atlassian.jira.mobile.jira-mobile-rest.

Die folgenden Versionen der Mobile Plugin for Jira App enthalten einen Fix:

  • 3.1.5 (compatible with Jira 8.13.x and JSM 4.13.x)

  • 3.2.15 (compatible with Jira 8.20.x and 8.22.x, compatible with JSM 4.20.x and 4.22.x)


Localtab
titleJira Cloud
tabIconbvicon-cloud

Sie verwenden Jira Software, Jira Service Management oder Jira Work Management Cloud

Tip

Sie sind von diesem Security Advisory nicht betroffen.

Keine Aktion erforderlich


Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Ihr Jira Server oder Data Center wird durch bitvoodoo gehostet

Mitigation
Tip

Die Mitigation wurde implementiert um die Instanzen in der bitvoodoo Cloud abzusichern. Auf Instanzen, bei welchen ein Update des Mobile Plugins aufgrund der Version von Jira nicht möglich war, wurde die App deaktiviert.

Update

Kunden mit einem LTS Update-Paket werden kontaktiert, um die Möglichkeit eines Updates zu besprechen.


Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch.


French

Cher client,

Le 29 juin 2022 à 7PM CEST, Atlassian a publié un avis de sécurité pour Jira Server et Jira Data Center. Les versions Cloud des applications ainsi que les autres produits Atlassian ne sont pas affectés.

Ce qu'il faut savoir

Une falsification de requête côté serveur en lecture intégrale existe dans Mobile Plugin for Jira, qui est fourni avec Jira et Jira Service Management. Il est exploitable par tout utilisateur authentifié (y compris un utilisateur qui s'est inscrit via la fonction d'inscription). Il affecte spécifiquement le point de terminaison HTTP batch utilisé dans Mobile Plugin for Jira. Il est possible de contrôler la méthode HTTP et l'emplacement de l'URL visée via le paramètre method dans le corps du point de terminaison vulnérable.

Version affectées

Info

Jira Core Server, Jira Software Server et Jira Software Data Center:

  • Versions entre 8.0 et 8.13.22

  • 8.14.x

  • 8.15.x

  • 8.16.x

  • 8.17.x

  • 8.18.x

  • 8.19.x

  • 8.20.x avant 8.20.10

  • 8.21.x

  • 8.22.x avant 8.22.4

Jira Service Management Server et Data Center:

  • Versions entre 4.0 et 4.13.22

  • 4.14.x

  • 4.15.x

  • 4.16.x

  • 4.17.x

  • 4.18.x

  • 4.19.x

  • 4.20.x avant 4.20.10

  • 4.21.x

  • 4.22.x avant 4.22.4

Quelles sont les actions à entreprendre

Localtab Group


Localtab
activetrue
titleJira Server & Data Center
tabIconbvicon-server

Vous utilisez Jira Server ou Jira Data Center 

MIse à jour

Pour corriger cette faille, Atlassian a publié les versions suivantes:

  • Jira Core Server, Jira Software Server et Jira Software Data Center:

    • 8.13.22

    • 8.20.10

    • 8.22.4 

    • 9.0.0

  • Jira Service Management Server et Data Center:

    • 4.13.22

    • 4.20.10

    • 4.22.4 

    • 5.0.0

Vous pouvez télécharger les dernière version de Jira Core, Jira Software, ou Jira Service Management.

Veuillez noter qu'il s'agit des premières versions qui incluent la correction du CVE-2022-26135. Des versions plus récentes de correction de bogues sont disponibles pour les versions listées ci-dessus. Atlassian recommande d'effectuer une mise à niveau vers la version de correction la plus récente.

Mitigation

L'installation d'une version corrigée de Jira ou de Jira Service Management est le moyen le plus sûr de remédier à CVE-2022-26135. Si vous ne pouvez pas mettre immédiatement à niveau Jira ou Jira Service Management, vous pouvez, à titre de solution temporaire, mettre manuellement à niveau Mobile Plugin for Jira Data Center and Server (com.atlassian.jira.mobile.jira-mobile-rest) vers les versions spécifiées dans cette section (ou désactiver le plugin). Selon la version de Jira dont vous disposez, il se peut que l'application ne soit pas répertoriée dans les applications "installées par l'utilisateur". Si c'est le cas, recherchez-la dans les applications "système". Elle peut également avoir un nom différent ; dans ce cas, recherchez l'application avec la clé d'application com.atlassian.jira.mobile.jira-mobile-rest.

Les versions suivantes de l'application Mobile Plugin for Jira contiennent une correction de ce problème :

  • 3.1.5 (compatible avec Jira 8.13.x et JSM 4.13.x)

  • 3.2.15 (compatible avec Jira 8.20.x et 8.22.x, compatible avec JSM 4.20.x et 4.22.x)


Localtab
titleJira Cloud
tabIconbvicon-cloud

Vous utilisez Jira cloud

Tip

Vous n'êtes pas concerné par cet avis de sécurité.

Aucune action nécessaire



Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Vous utilisez Jira Server ou Jira Data Center hébergés sur le cloud de bitvoodoo

Mitigation
Tip

Une mesure de contournement a été mise en place afin de sécuriser les instances hébergées sur le cloud de bitvoodoo. Nous avons désactivé le plugin Mobile Jira si la mise à jour n'était pas possible due à la version de Jira

Mise à jour

Les clients ayant souscrit aux mise à jour LTS recevront une requête de faisabilité pour la mise à jour



Support

Si vous avez d'autre questions concernant cet avis de sécurité, vous pouvez nous contacter via mail: support.bitvoodoo.ch.


bitvoodoo Advisories BVADVIS