Dear customer,

On Oct 17 2023 10:00 PDT, Atlassian issued a Security Advisory for Jira Service Management Server and Data Center.
The Cloud versions of the applications as well as other Atlassian products are not affected.

What you need to know

Certain versions of Jira Service Management Server & Data Center were affected by CVE-2019-13990. The affected versions contain vulnerable versions of Terracotta Quartz Scheduler which allow authenticated attackers to initiate an XML External Entity injection attack using job descriptions.

Atlassian has committed to issuing critical advisories based on the NVD vulnerability score, in this case the CVSS for this third party CVE is critical (9.8), but this score doesn’t always account for the context in which a vulnerable component is used in our software. Unauthenticated attackers without local access to the system are unable to exploit this vulnerability. As such, Atlassian's internal assessment of this vulnerability is scored as high severity.

Affected Versions

What should I do?

Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.

Sehr geehrte Kunden,

Am 17. Oktober 2023 10:00 Uhr PDT hat Atlassian ein Security Advisory für Jira Service Management Server & Data Center veröffentlicht. Die Cloud-Versionen der Anwendungen sowie andere Atlassian-Produkte (z.B. Jira Software, Jira Workmanagement) sind nicht betroffen.

Was Sie wissen müssen

Bestimmte Versionen von Jira Service Management Server & Data Center waren von CVE-2019-13990 betroffen. Die betroffenen Versionen enthalten anfällige Versionen von Terracotta Quartz Scheduler, die es authentifizierten Angreifern ermöglichen, einen XML External Entity Injection-Angriff unter Verwendung von Job-Descriptions zu initiieren.

Atlassian hat sich verpflichtet, kritische Advisories auf der Grundlage des NVD-Schwachstellen-Scores herauszugeben. In diesem Fall ist der CVSS für diese CVE eines Drittanbieters kritisch (9.8), aber dieser Score berücksichtigt nicht immer den Kontext, in dem eine anfällige Komponente in Atlassians Software verwendet wird. Unauthentifizierte Angreifer ohne lokalen Zugriff auf das System können diese Schwachstelle nicht ausnutzen. Daher stuft Atlassian diese Schwachstelle in der internen Bewertung als hoch und nicht kritisch ein.

Betroffene Versionen

Was soll ich tun?

Support

Wenn Sie noch Fragen oder Bedenken bezüglich dieses Hinweises haben, wenden Sie sich bitte an den bitvoodoo-Support über support.bitvoodoo.ch oder support@bitvoodoo.ch 

Chère cliente, cher client,

Le 17 octobre 2023 à 19h, Atlassian a publié un avis de sécurité pour Jira Service Management Serveur & Data Center.

Les versions Cloud des applications ainsi que les autres produits Atlassian ne sont pas concernés.

Ce qu'il faut savoir

Certaines versions de Jira Service Management Server & Data Center ont été affectées par CVE-2019-13990. Les versions concernées contiennent des versions vulnérables de Terracotta Quartz Scheduler qui permettent à des attaquants authentifiés d'initier une attaque par injection d'entité externe XML en utilisant des descriptions de tâches.

Atlassian s'est engagé à émettre des avis critiques basés sur le score de vulnérabilité NVD, dans ce cas le CVSS pour ce CVE tiers est critique (9.8), mais ce score ne prend pas toujours en compte le contexte dans lequel un composant vulnérable est utilisé dans notre logiciel. Les attaquants non authentifiés qui n'ont pas d'accès local au système sont incapables d'exploiter cette vulnérabilité. Par conséquent, l'évaluation interne de Atlassian classe cette vulnérabilité comme étant de haute sévérité.

Versions affectées

Que dois-je faire ?

Support

Si vous avez encore des questions ou des inquiétudes concernant cet avis, veuillez contacter le support de bitvoodoo via support.bitvoodoo.ch.