Bitbucket Server セキュリティ アドバイザリ 2020-01-15

2020-01-16 (Thu)  •  By 伊藤  •  ドキュメント  •  Bitbucket セキュリティ勧告 翻訳

今回の記事は、Bitbucket 管理ドキュメント (英語版)「Bitbucket Server Security Advisory 2020-01-15 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Bitbucket Server – リモート コード実行 (RCE) に関する 3 種類の脆弱性

概要
  • 2020 年 01 月 Bitbucket Server および Bitbucket Data Center アドバイザリ – リモート コード実行 (RCE) に関する 3 種類の脆弱性
アドバイザリ公開日
  • 2020 年 01 月 15 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Bitbucket Server
  • Bitbucket Data Center
影響を受ける Bitbucket Server および Bitbucket Data Center バージョン
  • すべての 1.x.x,、2.x.x、3.x.x、および 4.x.x バージョン
  • 5.16.11 よりも前のすべての 5.x.x バージョン
  • 6.0.11 よりも前のすべての 6.0.x バージョン
  • 6.1.9 よりも前のすべての 6.1.x バージョン
  • 6.2.7 よりも前のすべての 6.2.x バージョン
  • 6.3.6 よりも前のすべての 6.3.x バージョン
  • 6.4.4 よりも前のすべての 6.4.x バージョン
  • 6.5.3 よりも前のすべての 6.5.x バージョン
  • 6.6.3 よりも前のすべての 6.6.x バージョン
  • 6.7.3 よりも前のすべての 6.7.x バージョン
  • 6.8.2 よりも前のすべての 6.8.x バージョン
  • 6.9.1 よりも前のすべての 6.9.x バージョン
修正済み Bitbucket Server および Bitbucket Data Center バージョン
  • バージョン 5.16.11 (バージョン 1.x.x から 5.x.x 用)
  • バージョン 6.0.11 (バージョン 6.0.x 用)
  • バージョン 6.1.9 (バージョン 6.1.x 用)
  • バージョン 6.2.7 (バージョン 6.2.x 用)
  • バージョン 6.3.6 (バージョン 6.3.x 用)
  • バージョン 6.4.4 (バージョン 6.4.x 用)
  • バージョン 6.5.3 (バージョン 6.5.x 用)
  • バージョン 6.6.3 (バージョン 6.6.x 用)
  • バージョン 6.7.3 (バージョン 6.7.x 用)
  • バージョン 6.8.2 (バージョン 6.8.x 用)
  • バージョン 6.9.1 (バージョン 6.9.x 用)
CVE ID
  • CVE-2019-15010
  • CVE-2019-20097
  • CVE-2019-15012

脆弱性の概要

このアドバイザリでは、上述 (“影響を受ける Bitbucket Server および Bitbucket Data Center バージョン”) のバージョンの Bitbucket Server および Bitbucket Data Center で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせします。

上述 (“影響を受ける Bitbucket Server および Bitbucket Data Center バージョン”) のバージョンの Bitbucket Server および Bitbucket Data Center をダウンロード/インストールしている場合は、影響を受けます。

お使いの Bitbucket Server および Bitbucket Data Center インストレーションの 直ちにアップグレード を行い、今回の脆弱性に対応してください。

Bitbucket Cloud を使用している場合は影響を受けません。

バージョン 5.16.11、6.0.11、6.1.9、6.2.7、6.3.6、6.4.4、6.5.3、6.6.3、6.7.3、6.8.2、6.9.1、もしくはそれ以降にアップグレードされた Bitbucket Server および Bitbucket Data Center は影響を受けません。

特定のユーザー入力フィールドを利用したリモート コード 実行 (RCE) – CVE-2019-15010

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

バージョン 3.0.0 以降の Bitbucket Server および Bitbucket Data Center には、特定のユーザー入力フィールドを利用したリモート コード実行の脆弱性が含まれていました。ユーザー レベル権限を持つ遠隔の攻撃者は、この脆弱性を悪用することで被害者のシステム上で任意のコマンドを実行できます。巧妙に作成されたペイロードをユーザー入力として使用することで、攻撃者は被害者の Bitbucket Server や Bitbucket Data Center インスタンス上で任意のコマンドを実行できます。

この脆弱性の影響を受ける Bitbucket Server および Bitbucket Data Center のバージョンは、以下のとおりです。

この問題は BSERV-12098 で管理されています。

謝辞

今回の脆弱性の発見は、Chaitin Techvoidfyoo 氏の功績です。

post-receive フックを利用したリモート コード実行 (RCE) – CVE-2019-20097

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

バージョン 1.0.0 以降の Bitbucket Server および Bitbucket Data Center には、post-receive フックを利用したリモート コード実行の脆弱性が含まれていました。被害者の Bitbucket Server や Bitbucket Data Center インスタンス上でリポジトリへのファイルのクローン/プッシュ権限を持つ遠隔の攻撃者がこの脆弱性を悪用した場合、巧妙に作成されたコンテンツを含むファイルを使用して Bitbucket Server や Bitbucket Data Center システム上で任意のコマンドを実行できます。

この脆弱性の影響を受ける Bitbucket Server および Bitbucket Data Center のバージョンは、以下のとおりです。

この問題は BSERV-12099 で管理されています。

謝辞

今回の脆弱性の発見は、Chaitin Techthanat0s 氏の功績です。

edit-file 要求を使用したリモート コード実行 (RCE) – CVE-2019-15012

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性 CVSS スコアを 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

バージョン 4.13 以降の Bitbucket Server および Bitbucket Data Center には、edit-file 要求を利用したリモート コード実行の脆弱性が含まれていました。リポジトリへの書き込み権限を持つ遠隔の攻撃者は、edit-file エンドポイントを利用して被害者の Bitbucket Server や Bitbucket Data Center インスタンスに任意のファイルを書き込めます (その Bitbucket Server や Bitbucket Data Center インスタンスがその書き込み先に書き込み権限を持った状態で稼働している場合)。場合によっては、被害者の Bitbucket Server インスタンスによる任意のコード実行につながります。

この脆弱性の影響を受ける Bitbucket Server および Bitbucket Data Center のバージョンは、以下のとおりです。

この問題は BSERV-12100 で管理されています。

謝辞

今回の脆弱性の発見は、アトラシアンの Bitbucket Server および Bitbucket Data Center 開発チーム の功績です。

修正

これらの問題に対応するために、以下のバージョンの Bitbucket Server および Bitbucket Data Center をリリースしました。

これらバージョンは https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。最新バージョンは https://www.atlassian.com/software/bitbucket/download からダウンロードできます。

取るべき対策

アトラシアンは、最新バージョン (6.9.1) へのアップグレードを推奨します。Bitbucket Server および Bitbucket Data Center の最新バージョンに関する詳細については、「Bitbucket Server 6.9 リリース ノート 」を参照してください。Bitbucket Server および Bitbucket Data Center の最新バージョンのダウンロードは、ダウンロード センター から行えます。

最新バージョン (6.9.1) にアップグレードできない場合 :

使用しているフューチャー バージョン アップグレード対象となるバグ修正バージョン
  • 1.x.x
  • 2.x.x
  • 3.x.x
  • 4.x.x
  • 5.x.x
  • 5.16.11
  • 6.0.x
  • 6.0.11
  • 6.1.x
  • 6.1.9
  • 6.2.x
  • 6.2.7
  • 6.3.x
  • 6.3.6
  • 6.4.x
  • 6.4.4
  • 6.5.x
  • 6.5.3
  • 6.6.x
  • 6.6.3
  • 6.7.x
  • 6.7.3
  • 6.8.x
  • 6.8.2

軽減策

Bitbucket server や Bitbucket Data Center を直ちにアップグレードできない場合、一時的な回避策 として以下の操作を行います。

CVE-2019-15010 および CVE-2019-20097 に関しては既知の回避策はありません。可能な限り修正バージョンにアップグレードすることが重要です。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  前の記事 次の記事  

関連記事