日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、弊社は商号を「ゴーツーグループ 株式会社」から「ゴーツーラボ 株式会社」に変更いたしました。詳細については、「商号変更のお知らせ」をご参照ください。
2018-03-29 (Thu) • By 伊藤 • ドキュメント • Bamboo セキュリティ勧告 翻訳
注意 : 2014 年 09 月以降、 アトラシアンからバイナリ形式のバグ パッチが提供されることはありません。その代わり、バックポート対象のプラットフォーム バージョンとフューチャー バージョンに対して新たにバグ修正リリースが作成されます。
概要 |
|
---|---|
アドバイザリ公開日 |
|
製品 |
|
影響を受ける Bamboo バージョン |
|
修正済み Bamboo バージョン |
|
CVE ID |
|
このアドバイザリでは、Bamboo 2.7.0 導入された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせしています。Windows オペレーティング システム上で稼働する 2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前、および 6.4.0 から 6.4.1 (6.4.x 用修正済みバージョン) より前の Bamboo バージョンはこの脆弱性の影響を受けます。
バージョン 6.3.3 または 6.4.1 の Bamboo にアップグレードしたユーザーは影響を受けません。
Bamboo を Windows オペレーティング システムで稼働していないユーザーは影響を受けません。
2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前のバージョンの Bamboo Server をダウンロード/インストールしたユーザー
バージョン 6.4.0 以降かつ 6.4.1 (6.4.x 用修正済みバージョン) より前のバージョンの Bamboo Server をダウンロード/インストールしたユーザー
お使いの Bamboo インストレーションの アップグレード を 直ちに 行い、この脆弱性に対応してください。
重要度
「セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。
これは弊社独自の評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。
説明
Mercurial リポジトリ URI の構成が Windows オペレーティング システムが引数パラメーターと認識する値を含む場合でも Bamboo はそれ正しく確認していませんでした。攻撃者が以下の権限を 1 つ以上持つ場合、Windows オペレーティング システム上で脆弱性のあるバージョンの Bamboo が稼働するシステムで任意のコードを実行できます。
2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前、および 6.4.0 から 6.4.1 (6.4.x 用修正済みバージョン) より前のすべてのバージョンの Bamboo はこの脆弱性の影響を受けます。
この問題は BAM-19743 で管理されています。
謝辞
この問題を報告してくださった Zhang Tianqi @ Tophant 氏に感謝いたします。
軽減策
管理セクションの [Addons] メニューを使用して “Atlassian Bamboo Mercurial Repository Plugin” を無効化します。
この問題に対応するために弊社は以下の手段を採りました。
アトラシアンは最新バージョンへのアップグレードを推奨します。Bamboo 最新バージョンの詳細については、「Bamboo リリース ノート 」を参照してください。Bamboo 最新バージョンは「Bamboo ダウンロード センター 」からダウンロードできます。
Bamboo をバージョン 6.4.1 以降にアップグレードしてください。
Bamboo 6.3.x を稼働しており、かつ 6.4.1 にアップグレードできない場合、バージョン 6.3 にアップグレードしてください。
本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。
本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。
セキュリティに関するバグ修正ポリシー |
アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。 バイナリ形式のパッチがリリースされることはありません。 |
---|---|
セキュリティ問題に関する重大度の基準 | アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。 |
サポート終了ポリシー | 弊社のサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。 |