-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.01 ############################# Titel : Meerdere kwetsbaarheden verholpen in Jira Advisory ID : NCSC-2019-0715 Versie : 1.01 Kans : medium CVE ID : CVE-2019-8449, CVE-2019-14995, CVE-2019-14996, CVE-2019-14997, CVE-2019-14998 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Cross-Site Request Forgery (XSRF) Cross-Site Scripting (XSS) Toegang tot gevoelige gegevens Uitgiftedatum : 20200203 Toepassing : Atlassian JIRA Versie(s) : Platform(s) : Update Er is Proof-of-Concept-code verschenen. Deze code brengt geen veranderde inschaling teweeg. Beschrijving De ontwikkelaars van Jira hebben diverse kwetsbaarheden verholpen. De Cross-site Request Forgery (CSRF) en Cross-Site-Scripting (XSS) kwetsbaarheden stellen een ongeauthenticeerde kwaadwillende op afstand in staat om diverse acties te ondernemen: - Enumeratie van gebruikersnamen - Toegang tot gegevens - Omrouteren van gebruikers naar valse websites Er is Proof-of-Concept-code verschenen voor de kwetsbaarheid met kenmerk CVE-2019-8449. De code toont aan hoe het mogelijk is op afstand gebruikersnamen uit te lezen. Mogelijke oplossingen Atlassian heeft updates uitgebracht om de kwetsbaarheden te verhelpen in Jira. Voor meer informatie, zie: https://jira.atlassian.com/browse/JRASERVER-69790 https://jira.atlassian.com/browse/JRASERVER-69791 https://jira.atlassian.com/browse/JRASERVER-69792 https://jira.atlassian.com/browse/JRASERVER-69794 https://jira.atlassian.com/browse/JRASERVER-69796 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 502) Charset: utf-8 wsDVAwUBXjgK/E/4qUtG/lqjAQoYjwv8CcwcFrYE/pcWt80B60fxXetBnb5wU2CX OTz5SkN78GLi1ilmWIix8mp0XeFmLEM/Yx2hj6FbO9wlpGcO6H5aO4fvFEZJJvQw J3zkHMicn18Z8xK2WfB3Q8+EofVV9ppXdrgVdgAxo1KnlSWkKhkexNiOSUCwtAOu piqqrfxVkftfRruSg5NJ3NO1pU12DiGktI2umA+WVXM8jrw1OIOnPjE2CWPRwN+A DfaXV9Pt61ghJwVbDbEq7FTlVeKwTdTLNBLnf4MUPp/gcpVN3Cf+oQtTHf40gwok NSBbNfXt87lsh765RAvkdfxm3Qu3zE9CuPbETGbAmzKmLH3Z4AJ2cEzfje0N5dRF 5+LH4T00eDFmWsqsRbGoejz5LT42RTvvr+NIgLmZ6pU/RHdrInj+Sy8HYUxWpf+P fpJqfsU7E5627STLzNjNlfcVb123F/qbuEZ2984hCZgRQp1w6bTt8ytewc5mwTus mFbUMk3n55imgCuMVKgmeDeyq3QIgstJ =XPyu -----END PGP SIGNATURE-----