Jira Service Desk セキュリティ アドバイザリ 2019-09-18

2019-09-19 (Thu)  •  By 伊藤  •  ドキュメント  •  JIRA Service Desk セキュリティ勧告 翻訳

今回の記事は、Jira 管理ドキュメント「Jira Service Desk Security Advisory 2019-09-18 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Jira Service Desk Server および Jira Service Desk Data Center – URL パスのトラバーサルによる情報の漏洩 – CVE-2019-14994

概要
  • CVE-2019-14994 – URL パスのトラバーサルによる情報の漏洩
アドバイザリ公開日
  • 2019 年 09 月 18 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Jira Service Desk Server および Jira Service Desk Data Center

Jira Service Desk がインストールされていない Jira Core または Jira Software インスタンスはこの脆弱性の影響を受けません。

影響を受けるJira Service Desk Server および Jira Service Desk Data Center バージョン
  • 3.9.16 よりも前
  • 3.10.0 以降かつ 3.16.8 よりも前
  • 4.0.0 以降かつ 4.1.3 よりも前
  • 4.2.0 以降かつ 4.2.5 よりも前
  • 4.3.0 以降かつ 4.3.4 よりも前
  • 4.4.0 以降かつ 4.4.1 よりも前
修正済み Jira Service Desk バージョン
  • 3.9.16
  • 3.16.8
  • 4.1.3
  • 4.2.5
  • 4.3.4
  • 4.4.1
CVE ID
  • CVE-2019-14994

脆弱性の概要

このアドバイザリでは、Jira Service Desk Server および Jira Service Desk Data Center で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせします。3.9.16 よりも前、3.10.0 以降かつ 3.16.8 よりも前、4.0.0 以降かつ 4.1.3 よりも前、4.2.0 以降かつ 4.2.5 よりも前、4.3.0 以降かつ 4.3.4 よりも前、およびバージョン 4.4.1 はこの脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、本ページで解説されている問題を含まない Jira Service Desk バージョンに すでにアップグレードされており、この脆弱性の影響を受けません

Jira Service Desk Server および Jira Service Desk Data Center のバージョン 3.9.16、3.16.8、4.1.3、4.2.5、4.3.4、または 4.4.1 をダウンロード/インストールした場合は影響を受けません。

以下のバージョンの Jira Service Desk Server および Jira Service Desk Data Center バージョンをダウンロード/インストールした場合 :

  • 3.9.16 よりも前 のすべてのバージョン
  • 3.10.x
  • 3.11.x
  • 3.12.x
  • 3.13.x
  • 3.14.x
  • 3.15.x
  • 3.16.8 (3.16.x の修正バージョン) よりも前 のすべての 3.16.x バージョン
  • 4.0.x
  • 4.1.3 (4.1.x の修正バージョン) よりも前 のすべての 4.1.x バージョン
  • 4.2.5 (4.2.x の修正バージョン) よりも前 のすべての 4.2.x バージョン
  • 4.3.4 (4.3.x の修正バージョン) よりも前 のすべての 4.3.x バージョン
  • 4.4.1 (4.4.x の修正バージョン) よりも前 のすべての 4.4.x バージョン

お使いの Jira Service Desk Server および Jira Service Desk Data Center インストレーションの アップグレードを 直ちに 行い、今回の脆弱性に対応してください。

URL パス トラバーサルによる情報の漏洩 – CVE-2019-14994

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

仕様では、Jira Service Desk はカスタマー ポータル ユーザー権限に対してリクエストの起票ならびに課題の閲覧のみを許可しています。これにより、ユーザーは Jira に直接アクセスしなくてもカスタマー ポータル経由でやり取りが行えます。ポータル アクセスを持つリモートの攻撃者がパス トラバーサル脆弱性を悪用した場合、これら制限を迂回できます。ポータル設定で Anyone can email the service desk or raise a request が指定されている Jira Service Desk プロジェクトの場合、攻撃者は自身に対してそのプロジェクトへのアクセスを許可できることに注意してください。悪用することにより、攻撃者は脆弱性を含むインスタンスに含まれるすべての Jira プロジェクト内の全課題を閲覧できます。これには、Jira Service Desk プロジェクト、Jira Core プロジェクト、および Jira Software プロジェクトが含まれます。

3.9.16 よりも前、3.10.0 以降かつ 3.16.8 よりも前、4.0.0 以降かつ 4.1.3 よりも前、 4.2.0 以降かつ 4.2.5 よりも前、4.3.0 以降かつ 4.3.4 よりも前、および 4.4.0 は今回の脆弱性の影響を受けます。

この問題は JSDSERVER-6517 で管理されています。

謝辞

今回の脆弱性の発見は、Sam Curry 氏の功績です。

修正

今回の問題に対応するために、アトラシアンは以下の Jira Service Desk Server および Jira Service Desk Data Center のバージョンをリリースしました。

  1. 4.4.1 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
  2. 4.3.4 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
  3. 4.2.5 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
  4. 4.1.3 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
  5. 3.6.18 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
  6. 3.9.16 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)

軽減策

Jira Service Desk を直ちにアップグレードできない場合、一時的な回避策として以下を行えます。

Jira Service Desk をアップグレードした後、この回避策を削除できます。

Jira Service Desk のアップグレード

アトラシアンは、最新バージョンへのアップグレード を推奨します。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンに関する詳細については、「Jira Service Desk リリース ノート 」を参照してください。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンのダウンロードは、ダウンロード センター から行えます。

以下で指定されたバージョンに Jira Service Desk をアップグレードします。

Jira Service Desk のアップグレードは Jira Core のアップグレードも必要となります。お使いの Jira Service Desk バージョンに相当するバージョンを調べるには、「Jira applications compatibility matrix」を参照してください。

使用しているバージョン アップグレード先となる不具合修正バージョン
  • 4.4.0
  • 4.4.1
  • 4.3.x
  • 4.3.4
  • 4.2.x
  • 4.2.5
  • 4.1.x
  • 4.1.3
  • 3.16.x
  • 3.16.8
  • 3.9.x
  • 3.16.8 (推奨)
  • 3.9.16
  • さらに古いバージョン

現行バージョン

  • 4.4.1
  • 4.3.4

エンタープライズ リリース

  • 3.16.8 (推奨)
  • 3.9.16

悪用された証拠の検索

Jira ナレッジベース記事「Investigating your Jira Service Desk for attempts to exploit security vulnerability CVE-2019-14994 」には、お使いの Jira Service Desk インスタンスに対して悪用が試みられたかを判定するための方法が記載されています。

備考 : アトラシアンは、今回の脆弱性が悪用されたことを確認していません。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  Previous Next  

関連記事