Page History
Warning |
---|
This is a public space: For the draft, please restrict the page during creation and |
English | |||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Vulnerability in Jira Service Management Server and Data Center - CVE-2023-22501Dear customer, on the 1st of February 2023 at 8 PM CEST, Atlassian issued a Security Advisory for Jira Service Management Server and Jira Service Management Data Center. What you need to knowThis advisory discloses a critical severity security vulnerability which was introduced in version 5.3.0 of Jira Service Management Server et Data Center. An authentication vulnerability was discovered in Jira Service Management Server and Data Center which allows an attacker to impersonate another user and gain access to a Jira Service Management instance under certain circumstances. With public signup enabled on a Jira Service Management instance, an attacker could gain access to signup tokens sent to users with accounts that have never been logged into. Access to these tokens can be obtained in two cases:
Bot accounts are particularly susceptible to this scenario. On instances with single sign-on, external customer accounts can be affected in projects where anyone can create their own account. Affected VersionsThe following versions are affected by this vulnerability:
Fixed Versions
What should I do?
SupportIf you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch. |
German | |||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Vulnerability in Jira Service Management Server and Data Center - CVE-2023-22501Sehr geehrte Kunden, Am 01. Februar 2023 20:00 Uhr CEST hat Atlassian ein Security Advisory für Jira Service Management Server und Jira Service Management Data Center veröffentlicht. Was Sie wissen müssenDieser Hinweis deckt eine kritische Sicherheitslücke auf, die in Version 5.3.0 von Jira Service Management Server und Data Center eingeführt wurde. In Jira Service Management Server and Data Center wurde eine Authentifizierungsschwachstelle entdeckt, die es einem Angreifer ermöglicht, sich als ein anderer Benutzer auszugeben und unter bestimmten Umständen Zugriff auf eine Jira Service Management-Instanz zu erhalten. Wenn die öffentliche Anmeldung (public signup) auf einer Jira Service Management-Instanz aktiviert ist, kann ein Angreifer Zugriff auf Anmeldetoken erhalten, die an Benutzer mit Konten gesendet wurden, bei denen noch nie eine Anmeldung erfolgt ist. Der Zugriff auf diese Token kann in zwei Fällen erlangt werden:
Bot-Konten sind für dieses Szenario besonders anfällig. Auf Instanzen mit Single Sign-On können externe Kundenkonten in Projekten betroffen sein, bei denen jeder sein eigenes Konto erstellen kann. Betroffene VersionenJira Service Management Server und Data Center:
Korrigierte VersionenJira Service Management Server und Data Center
Was soll ich tun?
SupportWenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch. |
French | |||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Vulnerabilité de Jira Service Management Server et Data Center - CVE-2023-22501Cher client, le 1er février 2023 à 20h CEST, Atlassian a émis un avis de sécurité pour Jira Service Management Server et Jira Service Management Data Center. Ce que vous devez savoirCet avis divulgue une vulnérabilité de sécurité de gravité critique qui a été introduite dans la version 5.3.0 de Jira Service Management Server et Data Center.
Les comptes Bot sont particulièrement vulnérables à ce scénario. Sur les instances avec authentification unique, les comptes de clients externes peuvent être affectés dans les projets où n'importe qui peut créer son propre compte. Versions affectéesLes versions suivantes sont affectées par cette vulnérabilité :
Versions corrigées
Que devez-vous faire?
SupportSi vous avez encore des questions ou des préoccupations concernant cet avis, veuillez contacter le support bitvoodoo via support.bitvoodoo.ch. |