Fisheye および Crucible セキュリティ アドバイザリ 2017-11-29

2017-11-29 (Wed)  •  By 伊藤  •  ドキュメント  •  Crucible FishEye Mercurial セキュリティ勧告 翻訳

今回の記事は、Fisheye 管理ドキュメント「Fisheye and Crucible Security Advisory 2017-11-29 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Fisheye および Crucible – Mercurial リポジトリ内のファイル名を経由した引数インジェクション – CVE-2017-14591

注意 : 2014 年 09 月以降、バイナリ形式のバグ パッチが発行されることはありません。その代わり、サポート対象のメジャー バージョンに対して新たにメンテナンス リリースが作成されます。

概要
  • CVE-2017-14591 – Mercurial のリポジトリ処理を経由した引数インジェクション
アドバイザリ公開日
  • 2017/11/29 午前 10 時 PST (太平洋標準時、-8 時間)
製品
  • Fisheye および Crucible
影響を受けるバージョン
  • 4.4.3 よりも前のバージョン
  • 4.5.0
修正済みバージョン
  • 4.4.3
  • 4.5.1
CVE ID
  • CVE-2017-14591

脆弱性の概要

このアドバイザリでは、Fisheye および Crucible に影響を及ぼす 重要度 “重大” であるセキュリティの脆弱性についてお知らせしています。4.4.3 (4.4.x 用修正済みバージョン) よりも前、および 4.5.0 から 4.5.1 (4.5.x 用修正済みバージョン) より前の すべてのバージョン の Fisheye および Crucible はこの脆弱性の影響を受けます。

バージョン 4.4.3 または 4.5.1 の Fisheye および Crucible インストレーションにアップグレードしたユーザーは影響を受けません。

4.4.3 (4.4.x 用修正済みバージョン) よりも前のバージョンの Fisheye または Crucible をダウンロード/インストールしたユーザー

バージョン 4.5.0 以降かつ 4.5.1 (4.5.x 用修正済みバージョン) より前のバージョンの Fisheye または Crucible をダウンロード/インストールしたユーザー

お使いの Fisheye および Crucible インストレーションの アップグレード直ちに 行い、脆弱性に対応してください。

Mercurial のリポジトリ処理を経由した引数インジェクション (CVE-2017-14591)

重要度

セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Fisheye および Crucible は、引数パラメーターを含む Mercurial リポジトリ内のファイルの名前をチェックしていませんでした。リポジトリの追加権限や Fisheye または Crucible が追跡する Mercurial リポジトリへのコミット権限を持つ攻撃者は、脆弱性のあるバージョンの Fisheye または Crucible が稼働するシステム上で任意のコードを実行できます。

4.4.3 (4.4.x 用修正済みバージョン) よりも前、および 4.5.0 から 4.5.1 (4.5.x 用修正済みバージョン) より前のすべてのバージョンの Fisheye および Crucible はこの脆弱性の影響を受けます。

Fisheye に関してこの問題は https://jira.atlassian.com/browse/FE-6955 で管理されています。

Crucible に関してこの問題は https://jira.atlassian.com/browse/CRUC-8121 で管理されています。

謝辞

アトラシアンはこの問題を報告してくれた Zhang Tianqi @ Tophan 氏に感謝いたします。

軽減策

アトラシアンは最新バージョンへのアップグレードを推奨します。しかし、アップグレードを行えない場合、以下の軽減策を適用することができます。

この問題は、Mercurial クライアントの実行可能パスを以下の指示に従って構成解除することで軽減できます。

  1. Fisheye または Crucible の管理コンソールに移動する。
  2. [Server] オプションをクリックする ([Global Settings] の下)。
  3. [Edit Details] オプションをクリックする ([Hg Executable] の下)。
  4. パス フィールドを空欄にする。
  5. [Update] ボタンをクリックする。
  6. Fisheye サーバーを再起動する。

Mercurial 実行可能パスの設定に関する詳細については、「Mercurial client 」を参照してください。

修正

この問題に対応するために弊社は以下の手段を採りました。

  • この問題の修正を含む Fisheye バージョン 4.5.1 をリリースしました。
  • この問題の修正を含む Crucible バージョン 4.5.1 をリリースしました。
  • この問題の修正を含む Fisheye バージョン 4.4.3 をリリースしました。
  • この問題の修正を含む Crucible バージョン 4.4.3 をリリースしました。

取るべき対策

アトラシアンは最新バージョンへのアップグレードを推奨します。Fisheye 最新バージョンの詳細については、リリース ノート を参照してください。Fisheye 最新バージョンは ダウンロード センター からダウンロードできます。Crucible 最新バージョンの詳細については、リリース ノート を参照してください。Crucible 最新バージョンは ダウンロード センター からダウンロードできます。

Fisheye および Crucible をバージョン 4.5.1 以降にアップグレードする

Fisheye または Crucible 4.4.x を稼働しており、かつ 4.5.1 にアップグレードできない場合、バージョン 4.4.3 にアップグレードしてください。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

弊社の新しいポリシーに基づき、重大なセキュリティに関するバグ修正の対象となるのは、JIRA と Confluence については 12 か月以内にリリースされたメジャー ソフトウェア バージョンです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

今後、バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー 弊社のサポート終了ポリシーは製品により異なります。詳細については、EOL ポリシーを参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ