Bitbucket Server セキュリティ アドバイザリ 2018-05-22

2019-05-23 (Thu)  •  By 伊藤  •  ドキュメント  •  Bitbucket セキュリティ勧告 翻訳

今回の記事は、Bitbucket 管理ドキュメント「Bitbucket Server security advisory 2019-05-22 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Bitbucket Data Center – 移行ツール RCE におけるパス トラバーサル – CVE-2019-3397

概要
  • CVE-2019-3397 – 移行ツールにおけるパス トラバーサル
アドバイザリ公開日
  • 2019 年 05 月 22 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Bitbucket Data Center

(注意 : Data Center ライセンスが適用されていない Bitbucket Server は影響を受けません)

影響を受ける Bitbucket Data Center バージョン
  • 5.13.0 以降かつ 5.13.6 よりも前のバージョン
  • 5.14.0 以降かつ 5.14.4 よりも前のバージョン
  • 5.15.0 以降かつ 5.15.3 よりも前のバージョン
  • 5.16.0 以降かつ 5.16.3 よりも前のバージョン
  • 6.0.0 以降かつ 6.0.3 よりも前のバージョン
  • 6.1.0 以降かつ 6.1.2 よりも前のバージョン
修正済み Bitbucket Data Center バージョン
  • 5.13.6
  • 5.14.4
  • 5.15.3
  • 5.16.3
  • 6.0.3
  • 6.1.2
CVE ID
  • CVE-2019-3397

脆弱性の概要

このアドバイザリでは、バージョン 5.13.0 の Bitbucket Data Center で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせします。5.13.0 以降かつ 5.13.6 (5.13.x の修正バージョン) よりも前のバージョン、5.14.0 以降かつ 5.14.4 (5.14.x の修正バージョン) よりも前のバージョン、5.15.0 以降かつ 5.15.3 (5.15.x の修正バージョン) よりも前のバージョン、5.16.0 以降かつ 5.16.3 (5.16.x の修正バージョン) よりも前のバージョン、6.0.0 以降かつ 6.0.3 (6.0.x の修正バージョン) よりも前のバージョン、および、6.1.0 以降かつ 6.1.2 (6.1.x の修正バージョン) よりも前のバージョンの Bitbucket Data Center はこの脆弱性の影響を受けます。

Bitbucket Data Center をバージョン 5.13.6、5.14.4、5.15.3、5.16.3、6.0.3、または 6.1.2 にアップグレードした場合は影響を受けません。

以下のバージョンの Bitbucket Data Center をダウンロード/インストールした場合 :

  • 5.13.0 以降かつ 5.13.6 (5.13.x の修正バージョン) よりも前のバージョンの Bitbucket Data Center
  • 5.14.0 以降かつ 5.14.4 (5.14.x の修正バージョン) よりも前のバージョンの Bitbucket Data Center
  • 5.15.0 以降かつ 5.15.3 (5.15.x の修正バージョン) よりも前のバージョンの Bitbucket Data Center
  • 5.16.0 以降かつ 5.16.3 (5.16.x の修正バージョン) よりも前のバージョンの Bitbucket Data Center
  • 6.0.0 以降かつ 6.0.3 (6.0.x の修正バージョン) よりも前のバージョンの Bitbucket Data Center
  • 6.1.0 以降かつ 6.1.2 (6.1.x の修正バージョン) よりも前のバージョンの Bitbucket Data Center

お使いの Bitbucket Data Center インストレーションの アップグレードを直ちに行い、今回の脆弱性に対応してください。

移行ツールにおけるパス トラバーサル – CVE-2019-3397

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

Bitbucket Data Center の Data Center 移行ツールにパス トラバーサル脆弱性が含まれていました。リモートの攻撃者が管理者権限を持つ認証ユーザーである場合、このパス トラバーサル脆弱性を悪用することで任意の場所にファイルを書き込むことができます。その結果、脆弱性を含むバージョンの Bitbucket Data Center が稼働するシステム上でリモート コードを実行できます。Data Center ライセンスが適用されていない Bitbucket Server バージョンはこの脆弱性の影響を受けません。

この問題は BSERV-11706 で管理されています。

謝辞

今回の脆弱性の発見は、RIPS Technologies (https://www.ripstech.com/research/ ) の Johannes Moritz 氏の功績です。

修正

この問題に対応するためにアトラシアンは以下の対策を取りました。

取るべき対策

アトラシアンは、最新バージョンへのアップグレードを推奨します。Bitbucket Data Center の最新バージョンに関する詳細については、「Bitbucket Server 6.1 リリース ノート 」を参照してください。Bitbucket Data Center の最新バージョンのダウンロードは、ダウンロード センター から行えます。

Bitbucket Data Center をバージョン 6.1.2 以降にアップグレードしてください。

Bitbucket Data Center 5.13.x を稼働しており、かつ 6.1.2 にアップグレードできない場合、バージョン 5.13.6 にアップグレードしてください。

Bitbucket Data Center 5.14.x を稼働しており、かつ 6.1.2 にアップグレードできない場合、バージョン 5.14.4 にアップグレードしてください。

Bitbucket Data Center 5.15.x を稼働しており、かつ 6.1.2 にアップグレードできない場合、バージョン 5.15.3 にアップグレードしてください。

Bitbucket Data Center 5.16.x を稼働しており、かつ 6.1.2 にアップグレードできない場合、バージョン 5.16.3 にアップグレードしてください。

Bitbucket Data Center 6.0.x を稼働しており、かつ 6.1.2 にアップグレードできない場合、バージョン 6.0.3 にアップグレードしてください。

軽減策

この重要な機能は機能フラグ経由で無効化できます。これにより、この脆弱性を軽減できます。これを行うには、bitbucket.properties 内でプロパティ feature.data.center.migration.import=false を設定します。この場合でもエクスポート機能は引き続き機能することに注意してください。変更を有効にするには、Bitbucket Server を再起動する必要があります。

それでもインポート タスクを実行する必要がある場合、分離されたクラスター ノード (ユーザーおよび管理者はアクセスできないが、クラスターには接続されており、かつ、Sysadmin はアクセス可能) において、node-local bitbucket.properties ファイル内で feature.data.center.migration.import=true を設定することでこの機能を有効化できます。このノードと直接通信することでインポートが開始されます。その一方で他ノードではこの機能は無効のままです。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  Previous Next  

関連記事