日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、弊社は商号を「ゴーツーグループ 株式会社」から「ゴーツーラボ 株式会社」に変更いたしました。詳細については、「商号変更のお知らせ」をご参照ください。
2019-11-06 (Wed) • By 伊藤 • ドキュメント • Jira Service Desk セキュリティ勧告 翻訳
概要 |
|
---|---|
アドバイザリの公開日 |
|
製品 |
|
影響を受ける Jira Service Desk Server および Jira Service Desk Data Center のバージョン |
|
修正済み Jira Service Desk バージョン |
|
CVE ID |
|
このアドバイザリでは、Jira Service Desk Server および Jira Service Desk Data Center で発見された重要度が “重大 (Critical)” である 2 種類のセキュリティの脆弱性 (CVE-2019-15003 および CVE-2019-15004) についてお知らせします。3.9.17よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.0 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のバージョンはこれら脆弱性の影響を受けます。
お使いの Jira Service Desk Server および Jira Service Desk Data Center インストレーションの アップグレードを 直ちに 行い、今回の脆弱性に対応してください。
「セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。
これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。
仕様では、Jira Service Desk はカスタマー ポータル ユーザー権限に対してリクエストの起票ならびに課題の閲覧のみを許可しています。これにより、ユーザーは Jira に直接アクセスしなくてもカスタマー ポータル経由でやり取りを行えます。ポータルへのアクセスを持つ攻撃者* が認証バイパスを悪用した場合、これら制限を迂回できます。悪用することにより、攻撃者は脆弱性を含むインスタンス上の全 Jira プロジェクトのすべての課題を閲覧できます。これには Jira Service Desk プロジェクト、Jira Core プロジェクト、および Jira Software プロジェクトが含まれます。
3.9.17 よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.5 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のすべてのバージョンの Jira Service Desk は今回の脆弱性の影響を受けます。この問題は JSDSERVER-6590 で管理されています。
* 攻撃者は自分自身に対し、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます (Anyone can email the service desk or raise a request in the portal) 」設定が有効になっている Jira Service Desk ポータルへのアクセスを許可できることに注意してください。この権限を変更した場合でも、ポータルへのアクセスが可能な攻撃者による悪用の脆弱性を取り除けません。アトラシアンはこの権限の変更を推奨しません。代わりにこのセクションに記載されている説明をお読みください。
今回の脆弱性の発見は、Raphaël Arrouas 氏の功績です。
Jira Service Desk を直ちにアップグレードできない場合、もしくは Jira Cloud への移行中 である場合、一時的な回避策 として以下を行えます。
[jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml
の <urlrewrite>
セクションに以下を追加します。
<rule> <from>/servicedesk/.*\.jsp.*</from> <to type="temporary-redirect">/</to> </rule>
「セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。
これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。
仕様では、Jira Service Desk はカスタマー ポータル ユーザー権限に対してリクエストの起票ならびに課題の閲覧のみを許可しています。これにより、ユーザーは Jira に直接アクセスしなくてもカスタマー ポータル経由でやり取りを行えます。ポータルへのアクセスを持つ攻撃者* がパス トラバーサル脆弱性を悪用した場合、これら制限を迂回できます。悪用することにより、攻撃者は脆弱性を含むインスタンス上の全 Jira プロジェクトのすべての課題を閲覧できます。これには Jira Service Desk プロジェクト、Jira Core プロジェクト、および Jira Software プロジェクトが含まれます。
3.9.17 よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.5 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のすべてのバージョンの Jira Service Desk は今回の脆弱性の影響を受けます。この問題は JSDSERVER-6589 で管理されています。
* 攻撃者は自分自身に対し、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます (Anyone can email the service desk or raise a request in the portal) 」設定が有効になっている Jira Service Desk ポータルへのアクセスを許可できることに注意してください。この権限を変更した場合でも、ポータルへのアクセスが可能な攻撃者による悪用の脆弱性を取り除けません。アトラシアンはこの権限の変更を推奨しません。代わりにこのセクションに記載されている説明をお読みください。
今回の脆弱性の発見は、Raphaël Arrouas 氏の功績です。
Jira Service Desk を直ちにアップグレードできない場合、もしくは Jira Cloud への移行中 である場合、一時的な回避策 として以下を行えます。
[jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml
の <urlrewrite>
セクションに以下を追加します。
<rule> <from>^/.*\.\..*</from> <to type="temporary-redirect">/</to> </rule>
今回の問題に対応するために、アトラシアンは以下の Jira Service Desk Server および Jira Service Desk Data Center のバージョンをリリースしました。
アトラシアンは、最新バージョンへのアップグレードを推奨します。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンに関する詳細については、「Jira Service Desk リリース ノート 」を参照してください。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンのダウンロードは、ダウンロード センター から行えます。
Jira Service Desk のアップグレードは Jira Core のアップグレードも必要となります。お使いの Jira Service Desk バージョンに相当するバージョンを調べるには、「Jira アプリケーションの互換性マトリクス 」を参照してください。
使用しているバージョン | アップグレード先となる不具合修正バージョン |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
現行バージョン
|
本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。
本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。
セキュリティに関するバグ修正ポリシー | アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。 バイナリ形式のパッチがリリースされることはありません。 |
セキュリティ問題に関する重大度の基準 | アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。 |
サポート終了ポリシー | アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。 |