Contents


Inhalte


Contenu




Date

 

Product

  • Jira Service Management Server

  • Jira Service Management Data Center

VulnerabilityCritical
CVECVE-2023-22501
Official linkhttps://confluence.atlassian.com/jira/jira-service-management-server-and-data-center-advisory-2023-02-01-1188786458.html




Vulnerability in Jira Service Management Server and Data Center - CVE-2023-22501

Dear customer,

on the 1st of February 2023 at 8 PM CEST, Atlassian issued a Security Advisory for Jira Service Management Server and Jira Service Management Data Center.
Atlassian Cloud sites are not affected. If your Jira site is accessed via an atlassian.net domain, it is hosted by Atlassian and you are not affected by the vulnerability.

What you need to know

This advisory discloses a critical severity security vulnerability which was introduced in version 5.3.0 of Jira Service Management Server et Data Center. 

An authentication vulnerability was discovered in Jira Service Management Server and Data Center which allows an attacker to impersonate another user and gain access to a Jira Service Management instance under certain circumstances. With public signup enabled on a Jira Service Management instance, an attacker could gain access to signup tokens sent to users with accounts that have never been logged into. Access to these tokens can be obtained in two cases:

  • If the attacker is included on Jira issues or requests with these users, or

  • If the attacker is forwarded or otherwise gains access to emails containing a “View Request” link from these users.

Bot accounts are particularly susceptible to this scenario. On instances with single sign-on, external customer accounts can be affected in projects where anyone can create their own account.

Affected Versions

The following versions are affected by this vulnerability:

  • 5.3.0

  • 5.3.1

  • 5.3.2

  • 5.4.0

  • 5.4.1

  • 5.5.0

Fixed Versions

Product

Fixed Versions

Jira Service Management Server and Data Center

  • 5.3.3

  • 5.4.2

  • 5.5.1

  • 5.6.0 or later

What should I do?



You use Jira Service Management Server or Data Center in a version listed in Affected Versions.

Upgrade

Atlassian recommends that you upgrade each of your affected installations to one of the listed fixed versions (or any later version) above (see the “Fixed Versions” section of this page for details).

For a full description of the latest version of Jira Service Management Server and Data Center, see the release notes. You can download the latest version of Jira Service Management and Data Center from the download center.

Workaround, Mitigation

Installing a fixed version of Jira Service Management is the recommended way to remediate this vulnerability.

If you are unable to immediately upgrade Jira Service Management, you can manually upgrade the version-specific servicedesk-variable-substitution-plugin JAR file as a temporary workaround.

Jira Service Management Versions

JAR File

5.5.0

servicedesk-variable-substitution-plugin-5.5.1-REL-0005.jar

5.4.0, 5.4.1

servicedesk-variable-substitution-plugin-5.4.2-REL-0005.jar

5.3.0, 5.3.1, 5.3.2

servicedesk-variable-substitution-plugin-5.3.3-REL-0001.jar


To update the servicedesk-variable-substitution-plugin JAR file:

  1. Download the version-specific JAR file from the table above.

  2. Stop Jira.

  3. Copy the JAR file into your Jira home directory

    1. For the Server edition: <Jira_Home>/plugins/installed-plugins

    2. For the Data Center edition: <Jira_Shared>/plugins/installed-plugins

  4. Start Jira.



You use Jira Service Management Cloud.

You are not affected by the vulnerability.

No need for actions


You use Jira Server or Jira Data Center on servers operated by bitvoodoo

Mitigation

The mitigation has been implemented to secure instances hosted on the bitvoodoo cloud. 

Update

LTS Update Package Customers will get contacted to discuss the need of an update.






Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.


Vulnerability in Jira Service Management Server and Data Center - CVE-2023-22501

Sehr geehrte Kunden,

Am 01. Februar 2023 20:00 Uhr CEST hat Atlassian ein Security Advisory für Jira Service Management Server und Jira Service Management Data Center veröffentlicht.
Die Cloud-Versionen der Anwendungen sowie andere Atlassian-Produkte sind nicht betroffen. Wenn der Zugriff auf Ihre Jira-Site über eine atlassian.net -Domain erfolgt, wird sie von Atlassian gehostet und Sie sind nicht von dieser Advisory betroffen.

Was Sie wissen müssen

Dieser Hinweis deckt eine kritische Sicherheitslücke auf, die in Version 5.3.0 von Jira Service Management Server und Data Center eingeführt wurde. 

In Jira Service Management Server and Data Center wurde eine Authentifizierungsschwachstelle entdeckt, die es einem Angreifer ermöglicht, sich als ein anderer Benutzer auszugeben und unter bestimmten Umständen Zugriff auf eine Jira Service Management-Instanz zu erhalten.

Wenn die öffentliche Anmeldung (public signup) auf einer Jira Service Management-Instanz aktiviert ist, kann ein Angreifer Zugriff auf Anmeldetoken erhalten, die an Benutzer mit Konten gesendet wurden, bei denen noch nie eine Anmeldung erfolgt ist. Der Zugriff auf diese Token kann in zwei Fällen erlangt werden:

  • Wenn der Angreifer in Jira-Ausgaben oder -Anfragen mit diesen Benutzern enthalten ist, oder
  • Wenn der Angreifer weitergeleitet wird oder auf andere Weise Zugang zu E-Mails erhält, die einen Link "Anfrage anzeigen" von diesen Benutzern enthalten.

Bot-Konten sind für dieses Szenario besonders anfällig. Auf Instanzen mit Single Sign-On können externe Kundenkonten in Projekten betroffen sein, bei denen jeder sein eigenes Konto erstellen kann.

Betroffene Versionen

Jira Service Management Server und Data Center:

  • 5.3.0
  • 5.3.1
  • 5.3.2
  • 5.4.0
  • 5.4.1
  • 5.5.0

Korrigierte Versionen

Jira Service Management Server und Data Center

  • 5.3.3

  • 5.4.2

  • 5.5.1

  • 5.6.0 oder spätere Versionen

Was soll ich tun?



Sie nutzen Jira Service Management Server oder Data Center in einer Version, die unter Betroffene Versionen aufgeführt ist.

Update Server & Data Center

Atlassian empfiehlt, dass Sie jede Ihrer betroffenen Installationen auf eine der oben aufgelisteten korrigierten Versionen (oder eine spätere Version) aktualisieren (siehe den Abschnitt "Korrigierte Versionen" auf dieser Seite).

Eine vollständige Beschreibung der neuesten Version von Jira Service Management Server und Data Center finden Sie in den "Release Notes". Sie können die neueste Version von Jira Service Management und Data Center aus dem Download-Center herunterladen.

Workaround, Mitigation Server & Data Center

Es wird empfohlen, eine korrigierte Version von Jira Service Management zu installieren, um diese Sicherheitslücke zu beheben.

Wenn Sie nicht in der Lage sind, Jira Service Management sofort zu aktualisieren, können Sie die versionsspezifische JAR-Datei servicedesk-variable-substitution-plugin als vorübergehende Lösung manuell aktualisieren.

Jira Service Management Versions

JAR File

5.5.0

servicedesk-variable-substitution-plugin-5.5.1-REL-0005.jar

5.4.0, 5.4.1

servicedesk-variable-substitution-plugin-5.4.2-REL-0005.jar

5.3.0, 5.3.1, 5.3.2

servicedesk-variable-substitution-plugin-5.3.3-REL-0001.jar


So aktualisieren Sie die JAR-Datei für das servicedesk-variable-substitution-plugin :

  1. Laden Sie die versionsspezifische JAR-Datei aus der obigen Tabelle herunter.

  2. Stoppen Sie Jira.

  3. Kopieren Sie die JAR-Datei in Ihr Jira-Stammverzeichnis

    1. Für die Server-Edition:  <Jira_Home>/plugins/installed-plugins

    2. Für die Data Center Edition:  <Jira_Shared>/plugins/installed-plugins

  4. Starten Sie Jira.


Sie nutzen Jira Service Management Cloud

Sie sind von diesem Security Advisory nicht betroffen.

Keine Aktion erforderlich


Ihr Jira Server oder Data Center wird durch bitvoodoo gehostet

Mitigation bitvoodoo Cloud

Die Mitigation wurde implementiert, um die Instanzen in der bitvoodoo Cloud abzusichern.

Update bitvoodoo Cloud

Kunden mit einem LTS Update-Paket werden kontaktiert, um die Möglichkeit eines Updates zu besprechen.


Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch.


Vulnerabilité de Jira Service Management Server et Data Center - CVE-2023-22501

Cher client,

le 1er février 2023 à 20h CEST, Atlassian a émis un avis de sécurité pour Jira Service Management Server et Jira Service Management Data Center.
Les sites Atlassian Cloud ne sont pas concernés. Si votre site Jira est accessible via un domaine atlassian.net, il est hébergé par Atlassian et vous n'êtes pas affecté par la vulnérabilité.

Ce que vous devez savoir

Cet avis divulgue une vulnérabilité de sécurité de gravité critique qui a été introduite dans la version 5.3.0 de Jira Service Management Server et Data Center. 

Une vulnérabilité d'authentification a été découverte dans Jira Service Management Server and Data Center qui permet à un attaquant de se faire passer pour un autre utilisateur et d'accéder à une instance de Jira Service Management dans certaines circonstances. Si la connexion publique est activée sur une instance de Jira Service Management, un attaquant peut avoir accès aux jetons de connexion envoyés aux utilisateurs dont les comptes n'ont jamais été connectés. L'accès à ces jetons peut être obtenu dans deux cas :

  • Si l'attaquant est inclus dans les questions ou les demandes Jira avec ces utilisateurs, ou.
  • Si l'attaquant est transféré ou obtient un accès aux e-mails contenant un lien "View Request" de ces utilisateurs.

Les comptes Bot sont particulièrement vulnérables à ce scénario. Sur les instances avec authentification unique, les comptes de clients externes peuvent être affectés dans les projets où n'importe qui peut créer son propre compte.

Versions affectées

Les versions suivantes sont affectées par cette vulnérabilité :

  • 5.3.0

  • 5.3.1

  • 5.3.2

  • 5.4.0

  • 5.4.1

  • 5.5.0

Versions corrigées

Produits

Versions corrigées

Jira Service Management Server et Data Center

  • 5.3.3

  • 5.4.2

  • 5.5.1

  • 5.6.0 et supérieures

Que devez-vous faire?



Vous utilisez Jira Service Management Server ou Data Center dans une version répertoriée dans Versions affectées.

Mise à jour 

Atlassian vous recommande de mettre à niveau chacune de vos installations concernées vers l'une des versions corrigées listées ci-dessus (ou toute version ultérieure) (voir la section "Versions corrigées" de cette page pour plus de détails).

Pour une description complète de la dernière version de Jira Service Management Server et Data Center, consultez les notes de version. Vous pouvez télécharger la dernière version de Jira Service Management Server et Data Center depuis le centre de téléchargement.

Mesure de contournement

L'installation d'une version corrigée de Jira Service Management est la méthode recommandée pour remédier à cette vulnérabilité.

Si vous ne pouvez pas mettre à jour immédiatement Jira Service Management, vous pouvez mettre à jour manuellement le fichier JAR de la version spécifique de servicedesk-variable-substitution-plugin comme solution de contournement temporaire.

Versions de Jira Service Management 

JAR File

5.5.0

servicedesk-variable-substitution-plugin-5.5.1-REL-0005.jar

5.4.0, 5.4.1

servicedesk-variable-substitution-plugin-5.4.2-REL-0005.jar

5.3.0, 5.3.1, 5.3.2

servicedesk-variable-substitution-plugin-5.3.3-REL-0001.jar


Pour mettre à jour le fichier JAR de  servicedesk-variable-substitution-plugin:

  1. Téléchargez le fichier JAR spécifique à la version dans le tableau ci-dessus.
  2. Arrêtez Jira.
  3. Copiez le fichier JAR dans votre répertoire personnel Jira.
    1. Pour l'édition Server :  <Jira_Home>/plugins/installed-plugins
    2. Pour l'édition Data Center :  <Jira_Shared>/plugins/installed-plugins
  4. Démarrez Jira.



Vous utilisez Jira Service Management Cloud.

Vous n'êtes pas concerné par la vulnérabilité.

Aucune action nécessaire


Vous utilisez Jira Server ou Jira Data Center sur des serveurs exploités par bitvoodoo.

Mitigation

Les mesures d'atténuation ont été mises en œuvre pour sécuriser les instances hébergées par bitvoodoo

Mise à jour

Les clients du paquet de mise à jour LTS  seront contactés pour discuter de la nécessité d'une mise à jour.






Support

Si vous avez encore des questions ou des préoccupations concernant cet avis, veuillez contacter le support bitvoodoo via support.bitvoodoo.ch.