Atlassian dicht kritieke remote code execution-fout in Jira Server

Atlassian heeft een patch uitgebracht voor een kritieke kwetsbaarheid in Jira Server. Via de kwetsbaarheid CVE-2019-11581 kan een aanvaller op afstand code uitvoeren op systemen die kwetsbare versies van Jira Server of Data Center draaien.

De kwetsbaarheid is ontstaan in versie 4.4.0 van Jira Server en Jira Data Center, die in 2011 verschenen, schrijft The Daily Swig. Atlassian raadt gebruikers aan om de uitgebrachte patch te installeren.

Of de injectiekwetsbaarheid te exploiteren is, hangt deels af van de configuratie van het systeem. Als er een SMTP-server geconfigureerd is in Jira en het Contact Administrators Form is aangezet, kan een aanvaller het probleem misbruiken zonder dat authenticatie vereist is.

Ook is de fout te misbruiken in de gevallen waar een SMTP-server geconfigureerd is in Jira en een aanvaller administrator-toegang heeft. In beide gevallen kan een aanvaller malafide code op systemen plaatsen.

Tijdelijke oplossing

Mocht een gebruiker niet in staat zijn om Jira direct te upgraden, dan is er ook een tijdelijke oplossing. In dat geval moet het Contact Administrators Form uitgeschakeld worden, en moet toegang tot het ‘/secure/admin/SendBulkMail!default.jspa’-endpoint geblokkeerd worden.

Daardoor is het echter niet meer mogelijk voor Jira Administrators om bulk-mails naar gebruikers te sturen. Nadat de patch geïnstalleerd is, kan het endpoint weer ingeschakeld worden.

De Jira-software is het voornaamste product van Atlassian. Daarmee is het mogelijk om software-ontwikkeling te tracken. Atlassian benadrukt dat gebruikers van Jira Cloud niet getroffen worden door de fout. Alleen gebruikers van Jira Software, Jira Core en Jira Service Desk zijn getroffen.

Uitbreiding Jira Software

Atlassian nam in maart dit jaar nog AgileCraft over om zijn Jira-producten uit te breiden. AgileCraft maakt een product waarmee bedrijven projecten in kaart kunnen brengen en volgen. De software van AgileCraft is bedoeld om te werken met de Jira-tools. De twee bedrijven delen dan ook klanten die beide tools gebruiken.

Met de overname verlegt Atlassian zijn focus op het verkopen van tools voor het ontwikkelen van software naar een breder aanbod van zakelijke software.