日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、弊社は商号を「ゴーツーグループ 株式会社」から「ゴーツーラボ 株式会社」に変更いたしました。詳細については、「商号変更のお知らせ」をご参照ください。
2015-06-18 (Thu) • By 伊藤 • ドキュメント • Bamboo セキュリティ勧告 翻訳
注意 : 2014 年 09 月以降、 Atlassian からバイナリ形式のバグ パッチが提供されることはありません。その代わり、メジャー バージョンに対して新たにメンテナンス リリースが作成されます。
このアドバイザリでは、致命的な重大度 のセキュリティに関する脆弱性について解説しています。この脆弱性は Bamboo 5.8.0 で導入された Bamboo Elastic Agent Windows Stock Image (Windows 2012) のバージョンに存在するものです。
Elastic Bamboo を使用していないユーザー、および Windows 2012 以外 (例 : Windows 2008) のストック イメージを使用しているユーザーは影響を受けません。
Atlassian Cloud Bamboo インスタンスはすでにアップグレードされています。新しい AMI を使用しており、このページで解説されている問題は含まれていません。
Bamboo Server 5.8.0 または 5.8.1 をダウンロードしたユーザーが影響を受けるのは、2015 年 04 月 01 日までとなっています (BAM-15801 を参照)。
「セキュリティ問題に関する重大度の基準 」に従い、Atlassian はこの脆弱性の深刻度レベルを 致命的 と位置づけています。この基準では、脆弱性を致命的、高、中、または低に分類しています。
これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。
Bamboo 5.8.0 および 5.8.1 では、Windows Stock Image (Windows Server 2012 R2) AMI は ‘bamboo’ ユーザーを含んでいます。そして、この ‘bamboo’ ユーザーは公開されたパスワードが設定されています。この ‘bamboo’ ユーザーは RDP アクセスは許可されていませんが、影響を受ける AMI を使用するインスタンスへは SSH 経由でのログインが許可されています。攻撃者が脆弱性のあるライブ エージェントを発見した場合、その攻撃者はこの脆弱性を利用することで、影響を受ける Elastic Agents へ ‘bamboo’ ユーザーとして SSH でログイン可能です。また、その ‘bamboo’ ユーザーとして任意のコマンドを実行できます。’bamboo’ ユーザーとしてビルドを実行した場合、攻撃者はビルドの過程で生成されたすべてのファイルへアクセスできます。
以下の条件をすべて満たす場合、お使いの Bamboo サーバーのビルドは影響を受けた可能性があります。
以下の条件をすべて満たす場合、お使いの Bamboo Cloud のビルドは影響を受けた可能性があります。
Atlassian では、今回の問題に対応するために以下のステップを実施しました。
以下の AMI 識別子のいずれかに基付く AMI を作成した場合、AMI を再作成してください。以下の AMI のいずれかを使用するように Bamboo 上でカスタム イメージ設定を行っている場合、AMI ID を修正版にアップデートしてください。
ami-0341fb1e ami-03a9db39 ami-04ccf46c ami-0ecaf813 ami-1cb0824e ami-22033f3f ami-23668567 ami-28ae5428 ami-31ec692c ami-3f503148 ami-449faa16 ami-58667c1d ami-5a300c47 ami-6697dd0e ami-6ca79b04 ami-7606ff76 ami-79c1233d ami-95a822e2 ami-975e75a7 ami-9df94780 ami-b182e5c6 ami-b65f6de4 ami-c5e305c5 ami-dbe295e1 ami-e3374ad9 ami-e93b11d9 ami-fb1c38cb
以下の AMI は今回の問題への 修正 を含んでおり、影響を 受けません。これらを使用してカスタム イメージを再作成してください。
これら AMI は Bamboo Cloud および Bamboo 5.9.0 のストック イメージで使用されています。
地域 | AMI ID |
---|---|
Asia Pacific (Singapore) – ap-southeast-1 | ami-c21a2390 |
South America (Sao Paulo) – sa-east-1 | ami-f550d6e8 |
US East (N. Virginia) – us-east-1 | ami-50697038 |
EU (Frankfurt) – eu-central-1 | ami-e0f4cafd |
EU (Ireland) – eu-west-1 | ami-1f750268 |
US West (Oregon) – us-west-2 | ami-77764b47 |
Asia Pacific (Tokyo) – ap-northeast-1 | ami-b4f520b4 |
Asia Pacific (Sydney) – ap-southeast-2 | ami-fb81ffc1 |
US West (N. California) – us-west-1 | ami-6b3bd22f |
今回の問題は、以下で管理されています。
今回の問題を報告していただいた Simon Huynh 氏に感謝いたします。
このアドバイザリに関するご質問や懸念がございましたら、http://support.atlassian.com にてサポート チケットを作成してください。