Bitbucket Server セキュリティ アドバイザリ 2019-09-18

2019-09-19 (Thu)  •  By 伊藤  •  ドキュメント  •  Bitbucket セキュリティ勧告 翻訳

今回の記事は、Bitbucket 管理ドキュメント「Bitbucket Server Security Advisory 2019-09-18 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

引数インジェクション – CVE-2019-15000

概要
  • CVE-2019-15000 – 引数インジェクション
アドバイザリ公開日
  • 2019 年 09 月 18 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Bitbucket Server
  • Bitbucket Data Center
影響を受ける Bitbucket Server および Bitbucket Data Center バージョン
  • 5.16.10 よりも前
  • 6.0.0 以降かつ 6.0.10 よりも前のバージョン
  • 6.1.0 以降かつ 6.1.8 よりも前のバージョン
  • 6.2.0 以降かつ 6.2.0 よりも前のバージョン
  • 6.3.0 以降かつ 6.3.5 よりも前のバージョン
  • 6.4.0 以降かつ 6.4.3 よりも前のバージョン
  • 6.5.0 以降かつ 6.5.2 よりも前のバージョン
修正済みバージョン
  • 5.16.10
  • 6.0.10
  • 6.1.8
  • 6.2.6
  • 6.3.5
  • 6.4.3
  • 6.5.2
  • 6.6.0
  • 6.6.1
CVE ID
  • CVE-2019-15000

脆弱性の概要

このアドバイザリでは、Bitbucket Server および Bitbucket Data Center で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせします。以下のバージョンの Bitbucket Server および Bitbucket Data Center はこの脆弱性の影響を受けます。

Bitbucket をバージョン 5.16.10、6.0.10、6.1.8、6.2.6、6.3.5、6.4.3、6.5.2、6.6.0、6.6.1 もしくはそれ以降にアップグレードした場合は影響を受けません。

以下のバージョンの Bitbucket バージョンをダウンロード/インストールした場合 :

  • 5.16.10 (5.16.x の修正バージョン) よりも前
  • 6.0.0 以降かつ 6.0.10 (6.0.x の修正バージョン) よりも前のバージョン
  • 6.1.0 以降かつ 6.1.8 (6.1.x の修正バージョン) よりも前のバージョン
  • 6.2.0 以降かつ 6.2.0 (6.2.x の修正バージョン) よりも前のバージョン
  • 6.3.0 以降かつ 6.3.5 (6.3.x の修正バージョン) よりも前のバージョン
  • 6.4.0 以降かつ 6.4.3 (6.4.x の修正バージョン) よりも前のバージョン
  • 6.5.0 以降かつ 6.5.2 (6.5.x の修正バージョン) よりも前のバージョン

お使いの Bitbucket Server および Bitbucket Data Center インストレーションの アップグレードを直ちに行い、今回の脆弱性に対応してください。

引数インジェクション

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

Bitbucket Server および Bitbucket Data Center には引数インジェクションに関する脆弱性が含まれていました。これにより、攻撃者は追加の引数を Git コマンドに挿入することができ、その結果としてリモートからコードを実行できます。リモートの攻撃者が Bitbucket Server または Bitbucket Data Center 上の Git リポジトリにアクセスできる場合、この引数インジェクション脆弱性を悪用できます。プロジェクトまたはリポジトリのパブリック アクセスが有効になっている場合、攻撃者は今回の脆弱性を匿名で悪用できます。

5.16.10 (5.16.x の修正バージョン) よりも前のすべてのバージョン、6.0.0 以降かつ 6.0.10 (6.0.x の修正バージョン) よりも前のすべてのバージョン、6.1.0 以降かつ 6.1.8 (6.1.x の修正バージョン) よりも前のすべてのバージョン、6.2.0 以降かつ 6.2.6 (6.2.x の修正バージョン) よりも前のすべてのバージョン、6.3.0 以降かつ 6.3.5 (6.3.x の修正バージョン) よりも前のすべてのバージョン、6.4.0 以降かつ 6.4.3 (6.4.x の修正バージョン) よりも前のすべてのバージョン、および、6.5.0 以降かつ 6.5.2 (6.5.x の修正バージョン) よりも前のすべてのバージョンの Bitbucket Server および Bitbucket Data Center はこの脆弱性の影響を受けます。

この問題は BSERV-11947 で管理されています。

謝辞

今回の脆弱性の発見は、William Bowling 氏の功績です。

修正

この問題に対応するために、以下のリリース バージョンのBitbucket Server および Bitbucket Data Center に修正を適用しました。

  1. バージョン 6.6.1 は こちら からダウンロードできます。
  2. バージョン 6.6.0 は こちら からダウンロードできます。
  3. バージョン 6.5.2 は こちら からダウンロードできます。
  4. バージョン 6.4.3 は こちら からダウンロードできます。
  5. バージョン 6.3.5 は こちら からダウンロードできます。
  6. バージョン 6.2.6 は こちら からダウンロードできます。
  7. バージョン 6.1.8 は こちら からダウンロードできます。
  8. バージョン 6.0.10 は こちら からダウンロードできます。
  9. バージョン 5.16.10 は こちら からダウンロードできます。

取るべき対策

アトラシアンは、最新バージョンへのアップグレードを推奨します。Bitbucket Server および Bitbucket Data Center の最新バージョンに関する詳細については、「Bitbucket Server 6.6 リリース ノート 」を参照してください。Bitbucket Server および Bitbucket Data Center の最新バージョンのダウンロードは、ダウンロード センター から行えます。

Bitbucket Server および Bitbucket Data Center をバージョン 6.6.0 以降にアップグレードしてください。

最新バージョンにアップグレードできない場合 :

使用しているバージョンが以下の場合 次のいずれかのバージョンにアップグレードします
  • 1.x
  • 2.x
  • 3.x
  • 4.x
  • 5.x
  • 5.16.10
  • 6.0.10
  • 6.1.8
  • 6.2.6
  • 6.3.5
  • 6.4.3
  • 6.5.2
  • 6.0.x
  • 6.0.10
  • 6.1.8
  • 6.2.6
  • 6.3.5
  • 6.4.3
  • 6.5.2
  • 6.1.x
  • 6.1.8
  • 6.2.6
  • 6.3.5
  • 6.4.3
  • 6.5.2
  • 6.2.x
  • 6.2.6
  • 6.3.5
  • 6.4.3
  • 6.5.2
  • 6.3.x
  • 6.3.5
  • 6.4.3
  • 6.5.2
  • 6.4.x
  • 6.4.3
  • 6.5.2
  • 6.5.x
  • 6.5.2

軽減策

この問題を軽減するためのホットフィックスがプラグイン形式で提供されています。このホットフィックスはゼロ ダウンタイムで有効化できます。修正済みバージョンの Bitbucket をすでに使用している場合は、このホットフィックスは必要ありません。また、修正済みバージョンにはこのホットフィックスをインストールできません。

このホットフィックスは Bitbucket Server および Bitbucket Data Center インスタンスで動作します。また、修正済みバージョンへのアップグレードを計画/実行するまでシステムを保護するために利用できます。

このホットフィックスがインストールされている場合でも、インストール済みアプリが脆弱性を引き起こす可能性があることに注意してください。

このホットフィックスが保護するのは、以下のとおりです。

ホットフィックスをインストールするには、以下の操作を行います。

このホットフィックスは ゼロ ダウンタイムでインストールできます。ホットフィックスをインストールした後に再起動の必要ありません。

  1. 管理者アカウントで Bitbucket にログインします。
  2. Administration (歯車アイコン) を選択し、次に “Addons” → “Manage apps“ の順に移動します。
  3. “Upload App” を選択し、以下の URL を入力します。
  4. https://jira.atlassian.com/secure/attachment/376655/bitbucket-bserv-11896-hotfix-1.0.0.jar

  5. “Upload” をクリックし、ホットフィックスがインストールされるのを待ちます。

上記 URL に提供されているホットフィックスをアップロードできない場合、もしくは Bitbucket がファイアウォールの背後に配置されている場合、ホットフィックス プラグインの Jar ファイルを https://jira.atlassian.com/browse/BSERV-11947 からダウンロードできます。この Jar ファイルを上述の方法でアップロード可能です。

修正済みバージョンにアップグレードした後にホットフィックスを手動で削除する必要はありません。アップグレード プロセスの一環としてホットフィックスは自動的にアンインストールされます。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  Previous Next  

関連記事