Hipchat Server セキュリティ アドバイザリ 2017-11-22

2017-11-22 (Wed)  •  By 伊藤  •  ドキュメント  •  HipChat SSRF セキュリティ勧告 翻訳

今回の記事は、Hipchat 管理ドキュメント「Hipchat Server Security Advisory 2017-11-22 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

リモートでコードが実行される脆弱性 : Hipchat Server および Hipchat Data Center (CVE-2017-14585)、Hipchat for Mac Desktop Client (CVE-2017-14586)

概要
  • CVE-2017-14585 – Hipchat Server および Data Center に関してリモートでコードが実行される
  • CVE-2017-14586 – Hipchat for Mac Desktop Client に関してクライアント側からリモートでコードが実行される
アドバイザリ公開日
  • 2017/11/22 午前 10 時 PST (太平洋標準時、-7 時間)
製品
  • Hipchat Server
  • Hipchat Data Center
  • Hipchat for Mac Desktop Client
影響を受ける Hipchat for Mac Desktop Client バージョン
  • 4.0 以降かつ 4.30 より前のバージョン
影響を受ける Hipchat Server バージョン
  • 2.2.0 以降かつ 2.2.6 より前のバージョン
影響を受ける Hipchat Data Center バージョン
  • 3.0.0 以降かつ 3.1.0 より前のバージョン
修正済み Hipchat for Mac Desktop Client バージョン
  • 4.30
修正済み Hipchat Server バージョン
  • 2.2.6
修正済み Hipchat Data Center バージョン
  • 3.1.0
CVE ID
  • CVE-2017-14585
  • CVE-2017-14586

アドバイザリの概要

このアドバイザリでは、Hipchat for Mac Desktop Client、Hipchat Server および Data Center 製品が影響を受ける 重要度 “重大” であるセキュリティの脆弱性についてお知らせしています。

Hipchat Server および Hipchat Data Center – “管理者” インターフェイスに SSRF (サーバー側のリクエスト偽造) の脆弱性があり、リモートからコードが実行される – CVE-2017-14585

脆弱性の概要

この問題は Hipchat Server 2.2.0 および Hipchat Data Center 3.0.0 で見つかっています。2.2.0 以降かつ 2.2.6 より前のバージョンの Hipchat Server はこの脆弱性の影響を受けます。3.0.0 以降かつ 3.1.0 より前のバージョンの Hipchat Data Center は影響を受けます。

バージョン 2.2.6 の Hipchat Server にアップグレードしたユーザーは影響を受けません。バージョン 3.1.0 の Hipchat Data Center にアップグレードしたユーザーは影響を受けません。
お使いの Hipchat Server および Hipchat Data Center インスタンスのアップグレードを 直ちに 行い、脆弱性に対応してください。

Hipchat Server および Hipchat Data Center – “管理者” インターフェイスに SSRF (サーバー側のリクエスト偽造) 脆弱性があるためリモートからコードが実行される

重要度

セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 としています。この基準では、脆弱性を重大、高、中、または低に分類しています。これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

サーバー側のリクエスト偽造 (SSRF) 脆弱性を利用することで、認証された管理者の代わりにリモートからコードを実行できます。

2.2.0 以降かつ 2.2.6 より前のバージョンの Hipchat Server、および 3.0.0 以降かつ 3.1.0 より前のバージョンの Hipchat Data Center はこの脆弱性の影響を受けます。この問題は HCPUB-3526 – Remote code execution in HipChat Server and Data Center via SSRF in ‘admin’ interface – CVE-2017-14585 で管理されています。

謝辞

アトラシアンはこの問題を報告してくれた z0rg 氏に感謝いたします。

修正

この問題に対応するために弊社は以下の手段を採りました。

  • この問題の修正を含む Hipchat Server バージョン 2.2.6 をリリースしました。
  • この問題の修正を含む Hipchat Data Center バージョン 3.1.0 をリリースしました。
  • Hipchat Server バージョン 2.2.4 および 2.2.5 向けにこの問題の修正を含むパッチをリリースしました。

取るべき対策

バックアップを作成してから アップグレードを行ってください。仮想環境のスナップショット、もしくはデータ バックアップ/エクスポートを使用します。詳細については、「Hipchat Server のバックアップと復元 」を参照してください。

アップグレードする (推奨)

脆弱性、ならびに修正バージョンは上記セクションで解説されています。アトラシアンは最新バージョンへのアップグレードを推奨します。

Hipchat Server をバージョン 2.2.6 以降にアップグレードする

アトラシアンは最新バージョンへのアップグレードを推奨します。Hipchat Server 最新バージョンの詳細については、リリース ノート を参照してください。Hipchat Server 最新バージョンは こちら からダウンロードできます。

Hipchat Data Center をバージョン 3.1.0 以降にアップグレードする

アトラシアンは最新バージョンへのアップグレードを推奨します。Hipchat Data Center 最新バージョンの詳細については、リリース ノート を参照してください。Hipchat Data Center 最新バージョンは こちら からダウンロードできます。

パッチを適用する

Hipchat Serve バージョン 2.2.4 もしくは 2.2.5 にパッチを適用する

Hipchat Serve バージョン 2.2.4 もしくは 2.2.5 を稼働している場合は、この課題 にパッチが添付されています。

軽減策

アトラシアンは Hipchat Server および Hipchat Data Center の最新バージョンへのアップグレードを推奨します。

Hipchat for Mac Desktop Client – ビデオ リンクの解析を利用してクライアント側からリモートでコードが実行される – CVE-2017-14586

脆弱性の概要

この問題は Hipchat for Mac Desktop Client 4.0 で見つかっています。4.0 以降かつ 4.30 より前のバージョンの Hipchat for Mac Desktop Client はこの脆弱性の影響を受けます。

バージョン 4.30 の Hipchat for Mac Desktop Client にアップグレードしたユーザーは影響を受けません。
お使いの Hipchat for Mac Desktop Client インストレーションのアップグレードを 直ちに 行い、脆弱性に対応してください。

Hipchat for Mac Desktop Client – ビデオ リンクの解析を利用してクライアント側からリモートでコードが実行される

重要度

セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 としています。この基準では、脆弱性を重大、高、中、または低に分類しています。これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Hipchat for Mac Desktop Client には、ビデオ コールのリンク解析を利用してクライアント側からリモートでコードを実行できる脆弱性が含まれています。

バージョン 4.0 以降、およびバージョン 4.3 よりも前の Hipchat for Mac Desktop Client はこの脆弱性の影響を受けます。この問題は HCPUB-3473 – Remote code execution in HipChat Desktop Mac client via video link parsing で管理されています。

謝辞

アトラシアンはこの問題を報告してくれた Matt Austin 氏 (@mattaustin ) に感謝いたします。

修正

この問題に対応するために弊社は以下の手段を採りました。

  • この問題の修正を含む Hipchat for Mac Desktop Client バージョン 4.30 をリリースしました。

取るべき対策

アップグレードする (推奨)

脆弱性、ならびに修正バージョンは上記セクションで解説されています。アトラシアンは最新バージョンへのアップグレードを推奨します。

Hipchat for Mac Desktop Client をバージョン 4.30 以降にアップグレードする

アトラシアンは最新バージョンへのアップグレードを推奨します。Hipchat for Mac Desktop Client 最新バージョンの詳細については、リリース ノート を参照してください。Hipchat for Mac Desktop Client 最新バージョンは こちら からダウンロードできます。

軽減策

アトラシアンは Hipchat for Mac Desktop Client の最新バージョンへのアップグレードを推奨します。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

弊社の新しいポリシーに基づき、重大なセキュリティに関するバグ修正の対象となるのは、JIRA と Confluence については 12 か月以内にリリースされたメジャー ソフトウェア バージョンです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

今後、バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー 弊社のサポート終了ポリシーは製品により異なります。詳細については、EOL ポリシーを参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ