Atlassian hat eine XML External Entity Injection Sicherheitslücke in Jira Service Management unter ID CVE-2019-13990 bekanntgegeben.
Die Sicherheitslücke betrifft sowohl Server- als auch Data Center-Instanzen und ermöglicht unter bestimmten Bedingungen eine Injection von bösartigen Inhalten.
Betroffen sind die folgenden Versionen:
|
betroffene Version |
Patch verfügbar ab |
|
JSM 4.20 |
4.20.26 |
|
JSM 5.4 |
5.4.10 |
|
JSM 5.7 |
5.7.2 |
|
JSM 5.8 |
5.8.2 |
|
JSM 5.9 |
5.9.2 |
|
JSM 5.10 |
5.10.1 |
Wir empfehlen Ihnen daher schnellstmöglich ein Upgrade Ihrer Jira Service Management-Instanzen durchzuführen. Sollte dies kurzfristig nicht möglich sein, können Sie als Workaround auch Assets (ehemals Insight Asset Management) deaktivieren.
Wir wissen, wie wichtig es ist, dass Ihre Daten und Systeme vor Angreifern geschützt sind und möchten Ihnen dabei helfen, das Problem zeitnah zu lösen.