![\"\"](\"https:\/\/blog.jetbrains.com\/wp-content\/uploads\/2020\/09\/English-copy.png\")
<\/p>\n<\/p>\n
In dieser Ank\u00fcndigung geht es um eine Sicherheitsl\u00fccke, die wir k\u00fcrzlich in YouTrack gefunden und behoben haben. Bitte beachten Sie, wenn Sie ein kommerzieller YouTrack Standalone-Kunde sind, sollte Ihr Administrator Ende August eine E-Mail von uns erhalten haben und hatte vor dieser \u00f6ffentlichen Ank\u00fcndigung Zeit, Ihre YouTrack-Installation auf eine korrigierte Version zu aktualisieren. Wenn Sie diese E-Mail bereits erhalten und darauf reagiert haben, sind keine weiteren Ma\u00dfnahmen erforderlich. Wenn Sie ein YouTrack InCloud-Kunde sind, k\u00f6nnen Sie beruhigt sein, dass wir bereits alle notwendigen Schritte zur Sicherung Ihrer Installation unternommen haben.<\/p>\n
<\/span><\/p>\n Am 13. August 2020 haben wir eine Sicherheitsl\u00fccke in YouTrack behoben. Das Sicherheitsrisiko erm\u00f6glichte es angemeldeten Benutzern oder Gastbenutzern, Ticketbeschreibungen ohne die erforderlichen Zugriffsberechtigungen \u00fcber einen undokumentierten REST-API-Endpunkt abzurufen. Diese Sicherheitsl\u00fccke betraf YouTrack-Instanzen ab Version 3.3 (ver\u00f6ffentlicht am 2. M\u00e4rz 2012) bis zur Version 2020.3.4313 (ver\u00f6ffentlicht am 13. August 2020), als das Problem behoben wurde. Dieses Sicherheitsproblem h\u00e4tte YouTrack-Instanzen betreffen k\u00f6nnen, bei denen einer der folgenden Punkte zutraf:<\/p>\n In diesen F\u00e4llen war es dem Angreifer m\u00f6glich, Beschreibungen von Tickets abzurufen, ohne \u00fcber Systemberechtigungen zu verf\u00fcgen, um \u00fcber den undokumentierten YouTrack REST API-Endpunkt darauf zuzugreifen.<\/p>\n Leider haben wir keine Informationen, die best\u00e4tigen k\u00f6nnten, ob der Zugriff auf eine bestimmte YouTrack-Instanz kompromittiert wurde. Wenn Sie jedoch den Gastzugriff auf Ihrer Instanz deaktiviert haben oder Ihr Zugang zu YouTrack Standalone nicht \u00fcber das Internet verf\u00fcgbar ist, k\u00f6nnen Sie sicher sein, dass kein Dritter \u00fcber die Sicherheitsl\u00fccke auf Ihre Daten zugreifen konnte. <\/p>\n YouTrack Standalone.<\/strong> Wenn Sie ein Administrator von YouTrack Standalone sind und die E-Mail-Benachrichtigung nicht erhalten haben, verwenden Sie bitte die neuesten Bugfix-Versionen f\u00fcr jede YouTrack-Version ab 2019.1, die auf unserer Website<\/a> verf\u00fcgbar sind, um Ihr YouTrack zu aktualisieren.<\/p>\n YouTrack InCloud<\/strong> wurde im August auf eine korrigierte Version aktualisiert. Sie brauchen nichts zu tun.<\/p>\nWas ist passiert?<\/h2>\n
\nDas Sicherheitsl\u00fccke wurde in einem der \u00e4ltesten Endpunkte unserer veralteten REST-API gefunden. Das Problem hatte leider durch sowohl externe Sicherheitsaudits als auch YouTrack-Quellcode-Audits geschl\u00fcpft. Wir k\u00f6nnen best\u00e4tigen, dass dieser Endpunkt in keinem \u00f6ffentlichen Material, einschlie\u00dflich unserer Produktdokumentation, aufgetaucht ist.
\nEin entsprechendes CVE wird hier<\/a> ver\u00f6ffentlicht.<\/p>\nWelche Informationen wurden kompromittiert?<\/h2>\n
\n
Welche Ma\u00dfnahmen haben wir ergriffen?<\/h2>\n
\n
Sind von Ihnen irgendwelche Ma\u00dfnahmen erforderlich?<\/h2>\n