日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、弊社は商号を「ゴーツーグループ 株式会社」から「ゴーツーラボ 株式会社」に変更いたしました。詳細については、「商号変更のお知らせ」をご参照ください。
2019-09-19 (Thu) • By 伊藤 • ドキュメント • Jira Service Desk セキュリティ勧告 翻訳
| 概要 |
|
|---|---|
| アドバイザリ公開日 |
|
| 製品 |
|
| 影響を受けるJira Service Desk Server および Jira Service Desk Data Center バージョン |
|
| 修正済み Jira Service Desk バージョン |
|
| CVE ID |
|
このアドバイザリでは、Jira Service Desk Server および Jira Service Desk Data Center で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせします。3.9.16 よりも前、3.10.0 以降かつ 3.16.8 よりも前、4.0.0 以降かつ 4.1.3 よりも前、4.2.0 以降かつ 4.2.5 よりも前、4.3.0 以降かつ 4.3.4 よりも前、およびバージョン 4.4.1 はこの脆弱性の影響を受けます。
以下のバージョンの Jira Service Desk Server および Jira Service Desk Data Center バージョンをダウンロード/インストールした場合 :
お使いの Jira Service Desk Server および Jira Service Desk Data Center インストレーションの アップグレードを 直ちに 行い、今回の脆弱性に対応してください。
「セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。
これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。
仕様では、Jira Service Desk はカスタマー ポータル ユーザー権限に対してリクエストの起票ならびに課題の閲覧のみを許可しています。これにより、ユーザーは Jira に直接アクセスしなくてもカスタマー ポータル経由でやり取りが行えます。ポータル アクセスを持つリモートの攻撃者がパス トラバーサル脆弱性を悪用した場合、これら制限を迂回できます。ポータル設定で Anyone can email the service desk or raise a request が指定されている Jira Service Desk プロジェクトの場合、攻撃者は自身に対してそのプロジェクトへのアクセスを許可できることに注意してください。悪用することにより、攻撃者は脆弱性を含むインスタンスに含まれるすべての Jira プロジェクト内の全課題を閲覧できます。これには、Jira Service Desk プロジェクト、Jira Core プロジェクト、および Jira Software プロジェクトが含まれます。
3.9.16 よりも前、3.10.0 以降かつ 3.16.8 よりも前、4.0.0 以降かつ 4.1.3 よりも前、 4.2.0 以降かつ 4.2.5 よりも前、4.3.0 以降かつ 4.3.4 よりも前、および 4.4.0 は今回の脆弱性の影響を受けます。
この問題は JSDSERVER-6517 で管理されています。
今回の脆弱性の発見は、Sam Curry 氏の功績です。
今回の問題に対応するために、アトラシアンは以下の Jira Service Desk Server および Jira Service Desk Data Center のバージョンをリリースしました。
Jira Service Desk を直ちにアップグレードできない場合、一時的な回避策として以下を行えます。
.. を含む Jira へのリクエストをリバース プロキシ、またはロード バランサー レベルでブロックします。.. を含むリクエストを安全な URL にリダイレクトさせるように Jira を設定します。
[jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml の <urlrewrite> セクションに以下を追加します。
<rule>
<from>^/[^?]*\.\..*$
<to type="temporary-redirect">/
</rule>
Jira Service Desk をアップグレードした後、この回避策を削除できます。
アトラシアンは、最新バージョンへのアップグレード を推奨します。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンに関する詳細については、「Jira Service Desk リリース ノート 」を参照してください。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンのダウンロードは、ダウンロード センター から行えます。
Jira Service Desk のアップグレードは Jira Core のアップグレードも必要となります。お使いの Jira Service Desk バージョンに相当するバージョンを調べるには、「Jira applications compatibility matrix 」を参照してください。
| 使用しているバージョン | アップグレード先となる不具合修正バージョン |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
現行バージョン
|
Jira ナレッジベース記事「Investigating your Jira Service Desk for attempts to exploit security vulnerability CVE-2019-14994 」には、お使いの Jira Service Desk インスタンスに対して悪用が試みられたかを判定するための方法が記載されています。
備考 : アトラシアンは、今回の脆弱性が悪用されたことを確認していません。
本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。
本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。
| セキュリティに関するバグ修正ポリシー | アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。 バイナリ形式のパッチがリリースされることはありません。 |
| セキュリティ問題に関する重大度の基準 | アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。 |
| サポート終了ポリシー | アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。 |