Jira セキュリティ アドバイザリ 2019-07-10

2019-07-10 (Wed)  •  By 伊藤  •  ドキュメント  •  JIRA Core JIRA Service Desk JIRA Software セキュリティ勧告 翻訳

今回の記事は、Jira 管理ドキュメント「JIRA Security Advisory 2019-07-10 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Jira Server – 各種リソースにおけるテンプレート インジェクション – CVE-2019-11581

概要
  • CVE-2019-11581 – 各種リソースにおけるテンプレート インジェクション
アドバイザリ公開日
  • 2019 年 07 月 10 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Jira (Server) および Jira (Data Center)
影響を受けるバージョン
  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.14 (7.6.x の修正バージョン) よりも前の 7.6.x
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.5 (7.13.x の修正バージョン) よりも前の 7.13.x
  • 8.0.3 (8.0.x の修正バージョン) よりも前の 8.0.x
  • 8.1.2 (8.1.x の修正バージョン) よりも前の 8.1.x
  • 8.2.3 (8.2.x の修正バージョン) よりも前の 8.2.x
修正済みバージョン
  • 7.6.14
  • 7.13.5
  • 8.0.3
  • 8.1.2
  • 8.2.3
  • 8.2.4
CVE ID
  • CVE-2019-11581

脆弱性の概要

このアドバイザリでは、バージョン 4.4.0 の Jira (Server) および Jira (Data Center) で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせします。以下のバージョンの Jira (Server) および Jira (Data Center) は今回の脆弱性の影響を受けます。

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.14 (7.6.x の修正バージョン) よりも前の 7.6.x
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.5 (7.13.x の修正バージョン) よりも前の 7.13.x
  • 8.0.3 (8.0.x の修正バージョン) よりも前の 8.0.x
  • 8.1.2 (8.1.x の修正バージョン) よりも前の 8.1.x
  • 8.2.3 (8.2.x の修正バージョン) よりも前の 8.2.x
Jira (Server) および Jira (Data Center) をバージョン 7.6.14、7.13.5、8.0.3、8.1.2、8.2.3 または 8.2.4 にアップグレード済みのユーザーは影響を受けません。
Jira (Cloud) をお使いのユーザーは影響を受けません。

以下のバージョンの Jira (Server) または Jira (Data Center) をダウンロード/インストールしたユーザーは影響を受けます。

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.14 (7.6.x の修正バージョン) よりも前の 7.6.x
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.5 (7.13.x の修正バージョン) よりも前の 7.13.x
  • 8.0.3 (8.0.x の修正バージョン) よりも前の 8.0.x
  • 8.1.2 (8.1.x の修正バージョン) よりも前の 8.1.x
  • 8.2.3 (8.2.x の修正バージョン) よりも前の 8.2.x

直ちに お使いの Jira (Server) または Jira (Data Center) インストレーションの アップグレード を行い、この脆弱性に対応してください。

3.0.0 以降かつ 4.2.3 よりも前のバージョンの Jira Service Desk をお使いの場合、影響を受ける可能性があります。

上記に記載されているバージョンは Jira Core および Jira Software のものです。Jira Service Desk をお使いの場合は、「Jira applications compatibility matrix 」で相当するバージョンを確認してください。

各種リソースにおけるテンプレート インジェクション – CVE-2019-11581

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

Jira (Server) および Jira (Data Center) の ContactAdministrators 処理ならびに SendBulkMail 処理において、サーバーサイド テンプレート インジェクションに関する脆弱性が含まれていました。この脆弱性を悪用するには、以下の条件を少なくとも 1 つ満たしている必要があります。

  • Jira で SMTP サーバーが設定されており、かつ [管理者に連絡 (Contact Administrators)] フォームが有効化されている。または、
  • Jira で SMTP サーバーが設定されており、かつ攻撃者が “Jira 管理者” アクセスを持っている。

最初の条件を満たす場合、つまり、[管理者に連絡 (Contact Administrators)] フォームが有効化されている場合、攻撃者は認証なしにこの脆弱性を悪用できます。2 つめの条件を満たす場合、”Jira 管理者” アクセスを持つ攻撃者はこの脆弱性を悪用できます。いずれの場合も、この脆弱性の悪用することで攻撃者は脆弱性を含むバージョンの Jira (Server) または Jira (Data Center) が稼働するシステム上でリモート コードを実行できます。

4.4.0 以降かつ 7.6.14 (7.6.x の修正バージョン) よりも前のバージョン、7.7.0 以降かつ 7.13.5 (7.13.x の修正バージョン) よりも前のバージョン、8.0.0 以降かつ 8.0.3 (8.0.x の修正バージョン) よりも前のバージョン、8.1.0 以降かつ 8.1.2 (8.1.x の修正バージョン) よりも前のバージョン、および 8.2.0 以降かつ 8.2.3 よりも前のバージョンのすべての Jira (Server) および Jira (Data Center) はこの脆弱性の影響を受けます。この問題は JRASERVER-69532 で管理されています。

謝辞

今回の脆弱性の発見は、Daniil Dmitriev 氏の功績です。

修正

重要度

この問題に対応するためにアトラシアンは以下のバージョンの Jira (Server) および Jira (Data Center) をリリースしました。

取るべき対策

軽減策

Jira をすぐにアップグレードできない場合の 一時的な回避策 として、以下の操作を行うこともできます。

  1. [管理者に連絡 (Contact Administrators)] フォームを無効化します。 さらに /secure/admin/SendBulkMail!default.jspa エンドポイントへのアクセスをブロックします。
  2. 以下のエンドポイントへのアクセスをブロックします。
    • /secure/admin/SendBulkMail!default.jspa
    • /admin/SendBulkMail!default.jspa
    • /SendBulkMail!default.jspa
    • 注意 : SendBulkMail エンドポイントをブロックした場合、Jira 管理者はユーザーにメールを一斉送信できなくなります。

エンドポイントをブロックするには、リバース プロキシ、ロード バランサー、または Tomcat でアクセスを直接拒否します (詳細については、「How to block access to a specific URL at Tomcat 」を参照してください)。

Jira をアップグレードした後、[管理者に連絡 (Contact Administrators)] フォームを最有効化し、SendBulkMail エンドポイントのブロック解除を行ってください。

Jira のアップグレード

アトラシアンは、最新バージョンへのアップグレードを推奨します。Jira (Server) および Jira (Data Center) の最新バージョンに関する詳細については、リリース ノート を参照してください。Jira (Server) および Jira (Data Center) の最新バージョンのダウンロードは、ダウンロード センターから行えます。

Jira (Server) および Jira (Data Center) を 8.2.4 以降のバージョンにアップグレードしてください。

最新バージョンン (8.2.4) にアップグレードできない場合 :

(1) 現行のフューチャー バージョン (2018 年 12 月 10 日以降にリリースされたフューチャー バージョン) をお使いの場合、その 現行のフィーチャー バージョンの次の不具合修正バージョン にアップグレードしてください。

使用しているフューチャー バージョンアップグレード先となる不具合修正バージョン
8.0.x8.0.3
8.1.x8.1.2

(2) 現行の エンタープライズ リリース バージョン (2017 年 07 月 10 日以降にリリースされたエンタープライズ リリース バージョン) をお使いの場合、エンタープライズ リリース バージョンの最新バージョン (7.13.5) にアップグレードしてください。

注意 : エンタープライズ リリース バージョン 7.6 は 2019 年 11 月にサポートが終了します。最新ンのエンタープライズ リリース バージョン (7.13.5) にアップグレードできない場合は、7.6.14 にアップグレードしてください。

使用しているエンタープライズ リリース バージョンアップグレード先となる不具合修正バージョン
7.6.x7.13.5 (推奨)
7.6.14
7.13.x7.13.5
(3) 上記よりも古いバージョン (2018 年 12 月 10 日よりも前にリリースされたフューチャー バージョン、もしくは 2017 年 07 月 10 日よりも前にリリースされた ) をお使いの場合、最新バージョン、もしくは、エンタープライズ リリース バージョンの最新バージョン (7.13.5) にアップグレードしてください。
使用している古いバージョンアップグレード先の候補となるバージョン
4.4.x
5.x.x
6.xx
7.0.x
7.1.x
7.2.x
7.3.x
7.4.x
7.5.x
7.7.x
7.8.x
7.9.x
7.10.x
7.11.x
7.12.x
現在のバージョン
8.0.3
8.1.3
8.2.3
エンタープライズ リリース
7.6.14
7.13.5 (推奨)

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

お使いのインスタンスがセキュリティ侵害を受けているかを判定するガイダンスについては、「Determining whether your Jira instance has been compromised by CVE-2019-11851 」を参照してください。

参考

セキュリティに関するバグ修正ポリシー バグ修正に関する、アトラシアンの SLA および保障内容です。
セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ