Jira セキュリティ アドバイザリ 2019-09-18

2019-09-19 (Thu)  •  By 伊藤  •  ドキュメント  •  JIRA Core JIRA Service Desk JIRA Software セキュリティ勧告 翻訳

今回の記事は、Jira 管理ドキュメント「Jira Security Advisory 2019-09-18 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Jira Server – Jira Importers プラグインにおけるテンプレート インジェクション – CVE-2019-15001

概要
  • CVE-2019-15001 – Jira Importers プラグインにおけるテンプレート インジェクション
アドバイザリ公開日
  • 2019 年 09 月 18 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Jira Server および Jira Data Center

注意 : これには Jira Software、Jira Core、および Jira Service Desk が含まれます。

Jira Cloud はこの脆弱性の影響を受けません。

記載されているバージョンは Jira Core および Jira Software のものです。お使いの Jira Service Desk バージョンに相当するバージョンを調べるには、「Jira applications compatibility matrix 」を参照してください。

影響を受ける Jira Server および Jira Data Center バージョン
  • 7.0.10 以降
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.16 (7.6.x の修正バージョン) よりも前の 7.6.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.8 (7.13.x の修正バージョン) よりも前の 7.13.x
  • 8.0.x
  • 8.1.3 (8.1.x の修正バージョン) よりも前の 8.1.x
  • 8.2.5 (8.2.x の修正バージョン) よりも前の 8.2.x
  • 8.3.4 (8.3.x の修正バージョン) よりも前の 8.3.x
  • 8.4.0
修正済み Jira Server および Jira Data Center バージョン
  • 7.6.16
  • 7.13.8
  • 8.1.3
  • 8.2.5
  • 8.3.4
  • 8.4.1
CVE ID
  • CVE-2019-15001

脆弱性の概要

このアドバイザリでは、バージョン 7.0.10 の Jira Server および Jira Data Center で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせします。以下のバージョンの Jira Server および Jira Data Center は今回の脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、本ページで解説されている問題を含まない Jira バージョンに すでにアップグレードされています

Jira Server および Jira Data Center をバージョン 7.13.8、8.1.3、8.2.5、8.3.4、8.4.1 もしくはそれ以降にアップグレードした場合は影響を受けません。

上述のバージョンの Jira Server および Jira Data Center バージョンをダウンロード/インストールした場合、お使いの Jira Server および Jira Data Center インストレーションのアップグレードを直ちに行い、今回の脆弱性に対応してください。

Jira Importers プラグインにおけるテンプレート インジェクション

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

Jira Importers プラグイン (JIM) には、Jira Server および Jira Data Center へのサーバー サイド テンプレート インジェクションに関する脆弱性が含まれていました。”Jira 管理者” アクセスを持つ攻撃者は、今回の脆弱性を悪用できます。この問題の悪用に成功した場合、攻撃者は脆弱性を含むバージョンの Jira Server または Jira Data Center が稼働するシステム上でリモートからコードを実行できます。

7.0.10 以降かつ 7.6.16 よりも前、7.7.0 以降かつ 7.13.8 (7.13.x の修正バージョン) よりも前、8.1.0 以降かつ 8.1.3 (8.1.x の修正バージョン) よりも前、8.2.0 以降かつ 8.2.5 (8.2.x の修正バージョン) よりも前、8.3.0 以降かつ 8.3.4 (8.3.x の修正バージョン) よりも前、および、8.4.0 以降かつ 8.4.1 (8.4.x の修正バージョン) よりも前のすべてのバージョンの Jira Server および Jira Data Center はこの脆弱性の影響を受けます。

この問題は JRASERVER-69933 で管理されています。

謝辞

今回の脆弱性の発見は、Daniil Dmitrie 氏の功績です。

修正

今回の問題に対応するために、アトラシアンは以下の Jira Server および Jira Data Center のバージョンをリリースしました。

  1. 8.4.1 (https://www.atlassian.com/software/jira/core/download からダウンロードできます)
  2. 8.3.4 (https://www.atlassian.com/software/jira/core/update からダウンロードできます)
  3. 8.2.5 (https://www.atlassian.com/software/jira/core/update からダウンロードできます)
  4. 8.2.5 (https://www.atlassian.com/software/jira/core/update からダウンロードできます)
  5. 7.13.8 (https://www.atlassian.com/software/jira/core/update からダウンロードできます)
  6. 7.6.16 (https://www.atlassian.com/software/jira/core/update からダウンロードできます)

今回の問題に対応するために、アトラシアンは以下の Jira Software Server のバージョンをリリースしました。

  1. 8.4.1 (https://www.atlassian.com/software/jira/download からダウンロードできます)
  2. 8.3.4 (https://www.atlassian.com/software/jira/update からダウンロードできます)
  3. 8.2.5 (https://www.atlassian.com/software/jira/update からダウンロードできます)
  4. 8.1.3 (https://www.atlassian.com/software/jira/update からダウンロードできます)
  5. 7.13.8 (https://www.atlassian.com/software/jira/update からダウンロードできます)
  6. 7.6.16 (https://www.atlassian.com/software/jira/update からダウンロードできます)

軽減策

Jira を直ちにアップグレードできない場合、または Jira Cloud に移行中の場合 一時的な回避策 として以下のエンドポイントへの PUT 要求をブロックします。

この操作を行う方法が複数記載されているナレッジベース記事「Workaround for CVE-2019-15001 」を参照してください。その中から回避策を 1 つ選択します。

Jira をアップグレードした後、このエンドポイントをブロック解除してください。

Jira Importers プラグインを無効化しないでください。

Jira のアップグレード

アトラシアンは、最新バージョンへのアップグレード を推奨します。Jira Server および Jira Data Center の最新バージョンに関する詳細については、「Jira Software リリース ノート 」を参照してください。Jira Server および Jira Data Center の最新バージョンのダウンロードは、ダウンロード センター から行えます。

Jira Server および Jira Data Center をバージョン 8.4.1 以降にアップグレードしてください。

最新バージョン (8.4.1) にアップグレードできない場合 :

(1) 現行のフューチャー バージョン (2018 年 12 月 10 日以降にリリースされたフューチャー バージョン) をお使いの場合、そのフューチャー バージョンの次の不具合修正バージョン にアップグレードしてください。

使用しているフューチャー バージョン アップグレード先となる不具合修正バージョン
  • 8.0.x
  • 8.1.3
  • 8.1.x
  • 8.1.3
  • 8.2.x
  • 8.2.5
  • 8.3.x
  • 8.3.4
  • 8.4.x
  • 8.4.1

(2) 現行の エンタープライズ リリース バージョン (2017 年 07 月 10 日以降にリリースされたエンタープライズ リリース バージョン) をお使いの場合、エンタープライズ リリースの最新バージョン (7.13.8) にアップグレードしてください。

使用しているエンタープライズ リリース バージョン アップグレード先となるバージョン
  • 7.6.x
  • 7.6.16、7.13.8 (推奨)
  • 7.13.x
  • 7.13.8

(3) 上記よりも古いバージョン (2018 年 12 月 10 日よりも前にリリースされたフューチャー バージョン、または 2017 年 07 月 10 日よりも前にリリースされたエンタープライズ リリース バージョン) をお使いの場合、最新バージョン、または、エンタープライズ リリース バージョンの最新バージョン (7.13.8) にアップグレードしてください。

使用している古いバージョンが以下の場合 次のいずれかのバージョンにアップグレードします
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x

現行バージョン

  • 8.1.3
  • 8.2.5
  • 8.3.4
  • 8.4.1

エンタープライズ リリース

  • 7.6.16
  • 7.13.8

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  Previous Next  

関連記事