日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、弊社は商号を「ゴーツーグループ株式会社」から「ゴーツーラボ株式会社」に変更いたしました。詳細については、「商号変更のお知らせ」をご参照ください。

Bamboo セキュリティアドバイザリ 2018-03-28

2018-03-29 (Thu) • By 伊藤 • ドキュメント • Bamboo セキュリティ勧告翻訳

今回の記事は、Bamboo 管理ドキュメント「Bamboo Security Advisory 2018-03-28 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Bamboo – Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション – CVE-2018-5224

注意 : 2014 年 09 月以降、アトラシアンからバイナリ形式のバグパッチが提供されることはありません。その代わり、バックポート対象のプラットフォームバージョンとフューチャーバージョンに対して新たにバグ修正リリースが作成されます。

概要	CVE-2018-5224 – Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション
アドバイザリ公開日	2018 年 03 月 28 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品	Bamboo
影響を受ける Bamboo バージョン	2.7.0 <= version < 6.3.3 6.4.0 <= version < 6.4.1
修正済み Bamboo バージョン	6.3.3 6.4.1
CVE ID	CVE-2018-5224

脆弱性の概要

このアドバイザリでは、Bamboo 2.7.0 導入された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせしています。Windows オペレーティングシステム上で稼働する 2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前、および 6.4.0 から 6.4.1 (6.4.x 用修正済みバージョン) より前の Bamboo バージョンはこの脆弱性の影響を受けます。

バージョン 6.3.3 または 6.4.1 の Bamboo にアップグレードしたユーザーは影響を受けません。

Bamboo を Windows オペレーティングシステムで稼働していないユーザーは影響を受けません。

2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前のバージョンの Bamboo Server をダウンロード/インストールしたユーザー

バージョン 6.4.0 以降かつ 6.4.1 (6.4.x 用修正済みバージョン) より前のバージョンの Bamboo Server をダウンロード/インストールしたユーザー

お使いの Bamboo インストレーションの アップグレード を 直ちに 行い、この脆弱性に対応してください。

Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション (CVE-2018-5224)

重要度

「セキュリティ問題に関する重要度の基準」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これは弊社独自の評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Mercurial リポジトリ URI の構成が Windows オペレーティングシステムが引数パラメーターと認識する値を含む場合でも Bamboo はそれ正しく確認していませんでした。攻撃者が以下の権限を 1 つ以上持つ場合、Windows オペレーティングシステム上で脆弱性のあるバージョンの Bamboo が稼働するシステムで任意のコードを実行できます。

Bamboo 上でリポジトリを作成できる
Mercurial リポジトリにリンクされていない既存の Bamboo プランを編集できる
Bamboo Specs を使用してグローバルまたはプロジェクト内に Bamboo プランを作成できる

2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前、および 6.4.0 から 6.4.1 (6.4.x 用修正済みバージョン) より前のすべてのバージョンの Bamboo はこの脆弱性の影響を受けます。

この問題は BAM-19743 で管理されています。

謝辞

この問題を報告してくださった Zhang Tianqi @ Tophant 氏に感謝いたします。

軽減策

管理セクションの [Addons] メニューを使用して “Atlassian Bamboo Mercurial Repository Plugin” を無効化します。

修正

この問題に対応するために弊社は以下の手段を採りました。

この問題の修正を含む Bamboo バージョン 6.4.1 をリリースしました。「Bamboo ダウンロードセンター」からダウンロードできます。
この問題の修正を含む Bamboo バージョン 6.3.3 をリリースしました。「Bamboo ダウンロードアーカイブ」からダウンロードできます。

取るべき対策

アトラシアンは最新バージョンへのアップグレードを推奨します。Bamboo 最新バージョンの詳細については、「Bamboo リリースノート」を参照してください。Bamboo 最新バージョンは「Bamboo ダウンロードセンター」からダウンロードできます。

Bamboo をバージョン 6.4.1 以降にアップグレードしてください。

Bamboo 6.3.x を稼働しており、かつ 6.4.1 にアップグレードできない場合、バージョン 6.3 にアップグレードしてください。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポートチケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー	アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンスリリースが公開されます。バイナリ形式のパッチがリリースされることはありません。
セキュリティ問題に関する重大度の基準	アトラシアンのセキュリティアドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー	弊社のサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンスリリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準

アトラシアンのセキュリティアドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。

サポート終了ポリシー

弊社のサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

前の記事次の記事