日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、弊社は商号を「ゴーツーグループ 株式会社」から「ゴーツーラボ 株式会社」に変更いたしました。詳細については、「商号変更のお知らせ」をご参照ください。

Jira Service Desk セキュリティ アドバイザリ 2019-11-06

2019-11-06 (Wed)  •  By 伊藤  •  ドキュメント  •  Jira Service Desk セキュリティ勧告 翻訳

今回の記事は、Jira 管理ドキュメント (英語版)「Jira Service Desk Security Advisory 2019-11-06 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Jira Service Desk Server および Jira Service Desk Data Center – 認証バイパスによる情報の漏洩 – CVE-2019-15003

概要
  • CVE-2019-15003 – 認証バイパスによ情報の漏洩
  • CVE-2019-15004 – URL パス トラバーサルによる情報の漏洩
アドバイザリの公開日
  • 2019 年 11 月 06 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Jira Service Desk Server および Jira Service Desk Data Center
Jira Service Desk がインストールされていない Jira Core や Jira Software インスタンスは影響を受けません。
影響を受ける Jira Service Desk Server および Jira Service Desk Data Center のバージョン
  • 3.9.17 よりも前
  • 3.10.0 以降かつ 3.16.11 よりも前
  • 4.0.0 以降かつ 4.2.6 よりも前
  • 4.3.0 以降かつ 4.3.5 よりも前
  • 4.4.0 以降かつ 4.4.0 よりも前
  • 4.5.0 以降かつ 4.5.1 よりも前
修正済み Jira Service Desk バージョン
  • 3.9.17
  • 3.16.11
  • 4.2.6
  • 4.3.5
  • 4.4.3
  • 4.5.1 (最新エンタープライズ リリース)
CVE ID
  • CVE-2019-15003
  • CVE-2019-15004

脆弱性の概要

このアドバイザリでは、Jira Service Desk Server および Jira Service Desk Data Center で発見された重要度が “重大 (Critical)” である 2 種類のセキュリティの脆弱性 (CVE-2019-15003 および CVE-2019-15004) についてお知らせします。3.9.17よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.0 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のバージョンはこれら脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、本ページで解説されている問題を含まない Jira Service Desk バージョンに すでにアップグレードされており、この脆弱性の影響を受けません
バージョン 3.9.17、3.16.11、4.2.6、4.3.5、4.4.3、または 4.5.1 にアップグレードされた Jira Service Desk Server および Jira Service Desk Data Center は影響を受けません。
以下のバージョンの Jira Service Desk Server および Jira Service Desk Data Center バージョンをダウンロード/インストールした場合 :
  • 3.9.17 よりも前 のすべてのバージョン
  • 3.10.x
  • 3.11.x
  • 3.12.x
  • 3.13.x
  • 3.14.x
  • 3.15.x
  • 3.16.11 (3.16.x の修正バージョン) よりも前 のすべての 3.16.x バージョン
  • 4.0.x
  • 4.1.x
  • 4.2.6 (4.2.x の修正バージョン) よりも前 のすべての 4.2.x バージョン
  • 4.3.5 (4.3.x の修正バージョン) よりも前 のすべての 4.3.x バージョン
  • 4.4.3 (4.4.x の修正バージョン) よりも前 のすべての 4.4.x バージョン
  • 4.5.1 (4.4.x の修正バージョン) よりも前 のすべての 4.5.x バージョン

お使いの Jira Service Desk Server および Jira Service Desk Data Center インストレーションの アップグレードを 直ちに 行い、今回の脆弱性に対応してください。

認証バイパスによる情報の漏洩 – CVE-2019-15003

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

仕様では、Jira Service Desk はカスタマー ポータル ユーザー権限に対してリクエストの起票ならびに課題の閲覧のみを許可しています。これにより、ユーザーは Jira に直接アクセスしなくてもカスタマー ポータル経由でやり取りを行えます。ポータルへのアクセスを持つ攻撃者* が認証バイパスを悪用した場合、これら制限を迂回できます。悪用することにより、攻撃者は脆弱性を含むインスタンス上の全 Jira プロジェクトのすべての課題を閲覧できます。これには Jira Service Desk プロジェクト、Jira Core プロジェクト、および Jira Software プロジェクトが含まれます。

3.9.17 よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.5 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のすべてのバージョンの Jira Service Desk は今回の脆弱性の影響を受けます。この問題は JSDSERVER-6590 で管理されています。

* 攻撃者は自分自身に対し、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます (Anyone can email the service desk or raise a request in the portal) 」設定が有効になっている Jira Service Desk ポータルへのアクセスを許可できることに注意してください。この権限を変更した場合でも、ポータルへのアクセスが可能な攻撃者による悪用の脆弱性を取り除けません。アトラシアンはこの権限の変更を推奨しません。代わりにこのセクションに記載されている説明をお読みください。

謝辞

今回の脆弱性の発見は、Raphaël Arrouas 氏の功績です。

軽減策

Jira Service Desk を直ちにアップグレードできない場合、もしくは Jira Cloud への移行中 である場合、一時的な回避策 として以下を行えます。

URL パス トラバーサルによる情報の漏洩 – CVE-2019-15004

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

仕様では、Jira Service Desk はカスタマー ポータル ユーザー権限に対してリクエストの起票ならびに課題の閲覧のみを許可しています。これにより、ユーザーは Jira に直接アクセスしなくてもカスタマー ポータル経由でやり取りを行えます。ポータルへのアクセスを持つ攻撃者* がパス トラバーサル脆弱性を悪用した場合、これら制限を迂回できます。悪用することにより、攻撃者は脆弱性を含むインスタンス上の全 Jira プロジェクトのすべての課題を閲覧できます。これには Jira Service Desk プロジェクト、Jira Core プロジェクト、および Jira Software プロジェクトが含まれます。

3.9.17 よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.5 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のすべてのバージョンの Jira Service Desk は今回の脆弱性の影響を受けます。この問題は JSDSERVER-6589 で管理されています。

* 攻撃者は自分自身に対し、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます (Anyone can email the service desk or raise a request in the portal) 」設定が有効になっている Jira Service Desk ポータルへのアクセスを許可できることに注意してください。この権限を変更した場合でも、ポータルへのアクセスが可能な攻撃者による悪用の脆弱性を取り除けません。アトラシアンはこの権限の変更を推奨しません。代わりにこのセクションに記載されている説明をお読みください。

謝辞

今回の脆弱性の発見は、Raphaël Arrouas 氏の功績です。

軽減策

Jira Service Desk を直ちにアップグレードできない場合、もしくは Jira Cloud への移行中 である場合、一時的な回避策 として以下を行えます。

修正

今回の問題に対応するために、アトラシアンは以下の Jira Service Desk Server および Jira Service Desk Data Center のバージョンをリリースしました。

取るべき対策

Jira Service Desk のアップグレード

アトラシアンは、最新バージョンへのアップグレードを推奨します。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンに関する詳細については、「Jira Service Desk リリース ノート 」を参照してください。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンのダウンロードは、ダウンロード センター から行えます。

以下で指定されたバージョンに Jira Service Desk をアップグレードします。

Jira Service Desk のアップグレードは Jira Core のアップグレードも必要となります。お使いの Jira Service Desk バージョンに相当するバージョンを調べるには、「Jira アプリケーションの互換性マトリクス 」を参照してください。

使用しているバージョン アップグレード先となる不具合修正バージョン
  • 4.5.x
  • 4.5.1
  • 4.4.x
  • 4.4.3
  • 4.3.x
  • 4.3.5
  • 4.2.x
  • 4.2.6
  • 4.1.x
  • 4.5.1 (推奨)
  • 4.0.x
  • 4.5.1 (推奨)
  • 3.16.x
  • 3.16.11
  • 3.9.x
  • 3.16.11
  • 3.9.17
  • さらに古いバージョン (3.9 よりも前)
 現行バージョン
  • 4.4.1
  • 4.3.4
エンタープライズ リリース
  • 4.5.1 (推奨)
  • 3.16.11
  • 3.9.17

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。 バイナリ形式のパッチがリリースされることはありません。
セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  前の記事 次の記事  

関連記事