日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、弊社は商号を「ゴーツーグループ 株式会社」から「ゴーツーラボ 株式会社」に変更いたしました。詳細については、「商号変更のお知らせ」をご参照ください。
2017-12-13 (Wed) • By 伊藤 • ドキュメント • Bamboo セキュリティ勧告 翻訳
注意 : 2014 年 09 月以降、 アトラシアンからバイナリ形式のバグ パッチが提供されることはありません。その代わり、メジャー バージョンに対して新たにメンテナンス リリースが作成されます。
| 概要 |
|
|---|---|
| アドバイザリ公開日 |
|
| 製品 |
|
| 影響を受けるバージョン |
|
| 修正済みバージョン |
|
| CVE ID |
|
このアドバイザリでは Bamboo に影響を及ぼす 重要度 “重大” であるセキュリティの脆弱性についてお知らせしています。6.1.6 (6.1.x 用修正済みバージョン) よりも前、および 6.2.0 以降かつ 6.2.5 (6.2.x 用修正済みバージョン) よりも前の すべてのバージョン の Bamboo はこれらの脆弱性の影響を受けます。
Bamboo をバージョン 6.1.6 または 6.2.5 にアップグレードしたユーザーは影響を受けません。
6.1.6 (6.1.x 用修正済みバージョン) よりも前のバージョンの FBamboo をダウンロード/インストールしたユーザー
バージョン 6.2.0 以降かつ 6.2.5 (6.2.x 用修正済みバージョン) より前のバージョンの Bamboo をダウンロード/インストールしたユーザー
お使いの Bamboo インストレーションを 直ちにアップグレードする ことで脆弱性に対応してください。
「セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 としています。この基準では、脆弱性を重大、高、中、または低に分類しています。
これは弊社独自の評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。
Struts FreeMarker タグを経由することで FreeMarker テンプレートで OGNL を二重評価することが可能でした。Bamboo への限定的な管理者権限を持つ攻撃者、または Bamboo 管理者が訪問するサイトをホストしている攻撃者は、この脆弱性を悪用することで脆弱性を持つ Bamboo が稼働するシステム上で任意の Java コードを実行できます。
6.1.6 (修正済みバージョン) よりも前、および 6.2.0 以降かつ 6.2.5 (6.2.x の修正済みバージョン) より前のすべての Bamboo バージョンはこの脆弱性の影響を受けます。この問題は https://jira.atlassian.com/browse/BAM-18842 で管理されています。
この問題を報告していただいた Sebastian Perez 氏に感謝いたします。
この問題に関する軽減策はありません。
「セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 としています。この基準では、脆弱性を重大、高、中、または低に分類しています。
これは弊社独自の評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。
Bamboo は Mercurial リポジトリの引数パラメーターを含む ブランチ名をチェックしていませんでした。以下の 1 つ以上の権限を持つ攻撃者は、脆弱性を持つ Bamboo サーバー上で稼働するシステムに対して任意のコードを実行できます。
2.7.0 以降かつ 6.1.6 (6.1.x 用修正済みバージョン) よりも前、および 6.2.0 以降かつ 6.2.5 (6.2.x 用修正済みバージョン) よりも前のバージョンの Bamboo はこの脆弱性の影響を受けます。この問題は https://jira.atlassian.com/browse/BAM-18843 で管理されています。
この問題を報告していただいた Zhang Tianqi @ Tophant 氏に感謝いたします。
管理セクションのアドオン メニュー経由で “Atlassian Bamboo Mercurial Repository Plugin” を無効にします。
この問題に対応するために弊社は以下の手段を採りました。
アトラシアンは最新バージョンへのアップグレードを推奨します。Bamboo 最新バージョンの詳細については、リリース ノート を参照してください。Bamboo 最新バージョンは ダウンロード センター からダウンロードできます。
Bamboo 6.1.x を稼働しており、かつ 6.2.5 にアップグレードできない場合はバージョン 6.1.6 にアップグレードしてください。
本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。
本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。
| セキュリティに関するバグ修正ポリシー |
弊社の新しいポリシーに基づき、重大なセキュリティに関するバグ修正の対象となるのは、JIRA と Confluence については 12 か月以内にリリースされたメジャー ソフトウェア バージョンです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。 今後、バイナリ形式のパッチがリリースされることはありません。 |
|---|---|
| セキュリティ問題に関する重大度の基準 | アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。 |
| サポート終了ポリシー | 弊社のサポート終了ポリシーは製品により異なります。詳細については、EOL ポリシーを参照してください。 |