日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、弊社は商号を「ゴーツーグループ株式会社」から「ゴーツーラボ株式会社」に変更いたしました。詳細については、「商号変更のお知らせ」をご参照ください。

Bamboo セキュリティアドバイザリ 2015-06-17

2015-06-18 (Thu) • By 伊藤 • ドキュメント • Bamboo セキュリティ勧告翻訳

今回の記事は、Bamboo 管理ドキュメント「Bamboo Security Advisory 2015-06-17 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

注意 : 2014 年 09 月以降、 Atlassian からバイナリ形式のバグパッチが提供されることはありません。その代わり、メジャーバージョンに対して新たにメンテナンスリリースが作成されます。

脆弱性の概要

このアドバイザリでは、致命的な重大度 のセキュリティに関する脆弱性について解説しています。この脆弱性は Bamboo 5.8.0 で導入された Bamboo Elastic Agent Windows Stock Image (Windows 2012) のバージョンに存在するものです。

Elastic Bamboo を使用していないユーザー、および Windows 2012 以外 (例 : Windows 2008) のストックイメージを使用しているユーザーは影響を受けません。

Atlassian Cloud Bamboo インスタンスはすでにアップグレードされています。新しい AMI を使用しており、このページで解説されている問題は含まれていません。

Bamboo Server 5.8.0 または 5.8.1 をダウンロードしたユーザーが影響を受けるのは、2015 年 04 月 01 日までとなっています (BAM-15801 を参照)。

Windows Stock Image (Windows Server 2012 R2) AMI にハードコードされたユーザーに許可される SSH 認証

重大度

「セキュリティ問題に関する重大度の基準」に従い、Atlassian はこの脆弱性の深刻度レベルを 致命的 と位置づけています。この基準では、脆弱性を致命的、高、中、または低に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

解説

Bamboo 5.8.0 および 5.8.1 では、Windows Stock Image (Windows Server 2012 R2) AMI は ‘bamboo’ ユーザーを含んでいます。そして、この ‘bamboo’ ユーザーは公開されたパスワードが設定されています。この ‘bamboo’ ユーザーは RDP アクセスは許可されていませんが、影響を受ける AMI を使用するインスタンスへは SSH 経由でのログインが許可されています。攻撃者が脆弱性のあるライブエージェントを発見した場合、その攻撃者はこの脆弱性を利用することで、影響を受ける Elastic Agents へ ‘bamboo’ ユーザーとして SSH でログイン可能です。また、その ‘bamboo’ ユーザーとして任意のコマンドを実行できます。’bamboo’ ユーザーとしてビルドを実行した場合、攻撃者はビルドの過程で生成されたすべてのファイルへアクセスできます。

以下の条件をすべて満たす場合、お使いの Bamboo サーバーのビルドは影響を受けた可能性があります。

2015 年 03 月 17 日から 2015 年 04 月 01 日の間にリリースされた Bamboo 5.8.0 または 5.8.1 を使用している。
ビルドが使用する Windows Stock Image (Windows Server 2012 R2) AMI が、外部から 22 番ポートでアクセスできる。’elasticbamboo’ セキュリティグループが 22 番ポートを除外するように修正された場合、このポートへのアクセスはできなくなります。パブリックアドレスの指定が無効化された VPC 上でインスタンスが稼動している場合、パブリックインターネットからこのポートへアクセスできません。
2015 年 04 月 01 日以前にビルドが実行された (2015 年 04 月 01 日以降、該当 ‘bamboo’ ユーザーのパスワードの有効期限が切れており、この ‘bamboo’ ユーザーではログインできません)。

以下の条件をすべて満たす場合、お使いの Bamboo Cloud のビルドは影響を受けた可能性があります。

ビルドが使用する Windows Stock Image (Windows Server 2012 R2) AMI が、外部から 22 番ポートでアクセスできる。’elasticbamboo’ セキュリティグループが 22 番ポートを除外するように修正された場合、このポートへのアクセスはできなくなります。
2015 年 03 月 16 日から 2015 年 04 月 01 日の間、もしくは 2015 年 05 月 11 日から 2015 年 06 月 02 日の間にビルドが実行された。

対応策

Atlassian では、今回の問題に対応するために以下のステップを実施しました。

このアドバイザリの公開に合わせ、影響を受ける AMI をプライベートにしました。Bamboo はこれら AMI の新規インスタンスを起動できません。その代わりに例外エラーが生成されます。
Bamboo Cloud はアップデートされました。この問題の影響を受けない新しい AMI を使用いています。
修正済み AMI に対応した Bamboo Server 5.9.0 が公開されました。Atlassian Bamboo ダウンロードページからダウンロード可能です。

影響を受ける AMI

以下の AMI 識別子のいずれかに基付く AMI を作成した場合、AMI を再作成してください。以下の AMI のいずれかを使用するように Bamboo 上でカスタムイメージ設定を行っている場合、AMI ID を修正版にアップデートしてください。

ami-0341fb1e
ami-03a9db39
ami-04ccf46c
ami-0ecaf813
ami-1cb0824e
ami-22033f3f
ami-23668567
ami-28ae5428
ami-31ec692c
ami-3f503148
ami-449faa16
ami-58667c1d
ami-5a300c47
ami-6697dd0e
ami-6ca79b04
ami-7606ff76
ami-79c1233d
ami-95a822e2
ami-975e75a7
ami-9df94780
ami-b182e5c6
ami-b65f6de4
ami-c5e305c5
ami-dbe295e1
ami-e3374ad9
ami-e93b11d9
ami-fb1c38cb

修正版 AMI

以下の AMI は今回の問題への修正を含んでおり、影響を 受けません。これらを使用してカスタムイメージを再作成してください。

これら AMI は Bamboo Cloud および Bamboo 5.9.0 のストックイメージで使用されています。

地域	AMI ID
Asia Pacific (Singapore) – ap-southeast-1	ami-c21a2390
South America (Sao Paulo) – sa-east-1	ami-f550d6e8
US East (N. Virginia) – us-east-1	ami-50697038
EU (Frankfurt) – eu-central-1	ami-e0f4cafd
EU (Ireland) – eu-west-1	ami-1f750268
US West (Oregon) – us-west-2	ami-77764b47
Asia Pacific (Tokyo) – ap-northeast-1	ami-b4f520b4
Asia Pacific (Sydney) – ap-southeast-2	ami-fb81ffc1
US West (N. California) – us-west-1	ami-6b3bd22f

今回の問題は、以下で管理されています。

CVE-2015-4136: SSH Authorisation permitted for a user with hard-coded credentials in Windows Stock Image (Windows Server 2012 R2) AMI

謝辞

今回の問題を報告していただいた Simon Huynh 氏に感謝いたします。

サポート

このアドバイザリに関するご質問や懸念がございましたら、http://support.atlassian.com にてサポートチケットを作成してください。

前の記事次の記事

Bamboo セキュリティ アドバイザリ 2015-06-17