日頃より、弊社をご愛顧いただきまして誠にありがとうございます。この度、ゴーツーラボ株式会社が営むアトラシアン製品ライセンスの販売および SI サービスの提供事業をリックソフト株式会社に譲渡することで合意し、事業譲渡契約を締結する運びとなりました。詳細については、「事業譲渡に関するお知らせ」をご参照ください。

Jira Service Desk セキュリティアドバイザリ 2019-11-06

2019-11-06 (Wed) • By 伊藤 • ドキュメント • Jira Service Desk セキュリティ勧告翻訳

今回の記事は、Jira 管理ドキュメント (英語版)「Jira Service Desk Security Advisory 2019-11-06 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Jira Service Desk Server および Jira Service Desk Data Center – 認証バイパスによる情報の漏洩 – CVE-2019-15003

概要	CVE-2019-15003 – 認証バイパスによ情報の漏洩 CVE-2019-15004 – URL パストラバーサルによる情報の漏洩
アドバイザリの公開日	2019 年 11 月 06 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品	Jira Service Desk Server および Jira Service Desk Data Center Jira Service Desk がインストールされていない Jira Core や Jira Software インスタンスは影響を受けません。
影響を受ける Jira Service Desk Server および Jira Service Desk Data Center のバージョン	3.9.17 よりも前 3.10.0 以降かつ 3.16.11 よりも前 4.0.0 以降かつ 4.2.6 よりも前 4.3.0 以降かつ 4.3.5 よりも前 4.4.0 以降かつ 4.4.0 よりも前 4.5.0 以降かつ 4.5.1 よりも前
修正済み Jira Service Desk バージョン	3.9.17 3.16.11 4.2.6 4.3.5 4.4.3 4.5.1 (最新エンタープライズリリース)
CVE ID	CVE-2019-15003 CVE-2019-15004

脆弱性の概要

このアドバイザリでは、Jira Service Desk Server および Jira Service Desk Data Center で発見された重要度が “重大 (Critical)” である 2 種類のセキュリティの脆弱性 (CVE-2019-15003 および CVE-2019-15004) についてお知らせします。3.9.17よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.0 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のバージョンはこれら脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、本ページで解説されている問題を含まない Jira Service Desk バージョンに すでにアップグレードされており、この脆弱性の影響を受けません。

バージョン 3.9.17、3.16.11、4.2.6、4.3.5、4.4.3、または 4.5.1 にアップグレードされた Jira Service Desk Server および Jira Service Desk Data Center は影響を受けません。

以下のバージョンの Jira Service Desk Server および Jira Service Desk Data Center バージョンをダウンロード/インストールした場合 :

3.9.17 よりも前 のすべてのバージョン
3.10.x
3.11.x
3.12.x
3.13.x
3.14.x
3.15.x
3.16.11 (3.16.x の修正バージョン) よりも前 のすべての 3.16.x バージョン
4.0.x
4.1.x
4.2.6 (4.2.x の修正バージョン) よりも前 のすべての 4.2.x バージョン
4.3.5 (4.3.x の修正バージョン) よりも前 のすべての 4.3.x バージョン
4.4.3 (4.4.x の修正バージョン) よりも前 のすべての 4.4.x バージョン
4.5.1 (4.4.x の修正バージョン) よりも前 のすべての 4.5.x バージョン

お使いの Jira Service Desk Server および Jira Service Desk Data Center インストレーションのアップグレードを 直ちに 行い、今回の脆弱性に対応してください。

認証バイパスによる情報の漏洩 – CVE-2019-15003

重要度

「セキュリティ問題に関する重要度の基準」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

仕様では、Jira Service Desk はカスタマーポータルユーザー権限に対してリクエストの起票ならびに課題の閲覧のみを許可しています。これにより、ユーザーは Jira に直接アクセスしなくてもカスタマーポータル経由でやり取りを行えます。ポータルへのアクセスを持つ攻撃者* が認証バイパスを悪用した場合、これら制限を迂回できます。悪用することにより、攻撃者は脆弱性を含むインスタンス上の全 Jira プロジェクトのすべての課題を閲覧できます。これには Jira Service Desk プロジェクト、Jira Core プロジェクト、および Jira Software プロジェクトが含まれます。

3.9.17 よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.5 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のすべてのバージョンの Jira Service Desk は今回の脆弱性の影響を受けます。この問題は JSDSERVER-6590 で管理されています。

* 攻撃者は自分自身に対し、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます (Anyone can email the service desk or raise a request in the portal) 」設定が有効になっている Jira Service Desk ポータルへのアクセスを許可できることに注意してください。この権限を変更した場合でも、ポータルへのアクセスが可能な攻撃者による悪用の脆弱性を取り除けません。アトラシアンはこの権限の変更を推奨しません。代わりにこのセクションに記載されている説明をお読みください。

謝辞

今回の脆弱性の発見は、Raphaël Arrouas 氏の功績です。

軽減策

Jira Service Desk を直ちにアップグレードできない場合、もしくは Jira Cloud への移行中である場合、一時的な回避策 として以下を行えます。

jspa、jpsx、jsp を含む Jira へのリクエストをリバースプロキシ、またはロードバランサーレベルでブロックします。
代替方法として jspa、jpsx、jsp を含むリクエストを安全な URL にリダイレクトさせるように Jira を設定します。
- [jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml の <urlrewrite> セクションに以下を追加します。
```
<rule>
    <from>/servicedesk/.*\.jsp.*</from>
    <to type="temporary-redirect">/</to>
</rule>
```
- 上記変更を保存した後、Jira を再起動します。
Jira Service Desk をアップグレードした後はこの回避策を削除できます。

URL パストラバーサルによる情報の漏洩 – CVE-2019-15004

重要度

「セキュリティ問題に関する重要度の基準」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

仕様では、Jira Service Desk はカスタマーポータルユーザー権限に対してリクエストの起票ならびに課題の閲覧のみを許可しています。これにより、ユーザーは Jira に直接アクセスしなくてもカスタマーポータル経由でやり取りを行えます。ポータルへのアクセスを持つ攻撃者* がパストラバーサル脆弱性を悪用した場合、これら制限を迂回できます。悪用することにより、攻撃者は脆弱性を含むインスタンス上の全 Jira プロジェクトのすべての課題を閲覧できます。これには Jira Service Desk プロジェクト、Jira Core プロジェクト、および Jira Software プロジェクトが含まれます。

3.9.17 よりも前、3.10.0 以降かつ 3.16.11 よりも前、4.0.0 以降かつ 4.2.6 よりも前、4.3.0 以降かつ 4.3.5 よりも前、4.4.0 以降かつ 4.4.3 よりも前、および 4.5.0 以降かつ 4.5.1 よりも前のすべてのバージョンの Jira Service Desk は今回の脆弱性の影響を受けます。この問題は JSDSERVER-6589 で管理されています。

* 攻撃者は自分自身に対し、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます (Anyone can email the service desk or raise a request in the portal) 」設定が有効になっている Jira Service Desk ポータルへのアクセスを許可できることに注意してください。この権限を変更した場合でも、ポータルへのアクセスが可能な攻撃者による悪用の脆弱性を取り除けません。アトラシアンはこの権限の変更を推奨しません。代わりにこのセクションに記載されている説明をお読みください。

謝辞

今回の脆弱性の発見は、Raphaël Arrouas 氏の功績です。

軽減策

Jira Service Desk を直ちにアップグレードできない場合、もしくは Jira Cloud への移行中である場合、一時的な回避策 として以下を行えます。

.. を含む Jira へのリクエストをリバースプロキシ、またはロードバランサーレベルでブロックします。
代替方法として .. を含むリクエストを安全な URL にリダイレクトさせるように Jira を設定します。
- [jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml の <urlrewrite> セクションに以下を追加します。
```
<rule>
    <from>^/.*\.\..*</from>
    <to type="temporary-redirect">/</to>
</rule>
```
- 上記変更を保存した後、Jira を再起動します。
Jira Service Desk をアップグレードした後はこの回避策を削除できます。

修正

今回の問題に対応するために、アトラシアンは以下の Jira Service Desk Server および Jira Service Desk Data Center のバージョンをリリースしました。

4.5.1 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
4.4.3 は数日中に公開される予定です
4.3.5 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
4.2.6 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
3.16.11 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)
3.9.17 (https://www.atlassian.com/software/jira/service-desk/update からダウンロードできます)

取るべき対策

Jira Service Desk のアップグレード

アトラシアンは、最新バージョンへのアップグレードを推奨します。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンに関する詳細については、「Jira Service Desk リリースノート」を参照してください。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンのダウンロードは、ダウンロードセンターから行えます。

以下で指定されたバージョンに Jira Service Desk をアップグレードします。

Jira Service Desk のアップグレードは Jira Core のアップグレードも必要となります。お使いの Jira Service Desk バージョンに相当するバージョンを調べるには、「Jira アプリケーションの互換性マトリクス」を参照してください。

使用しているバージョン	アップグレード先となる不具合修正バージョン
4.5.x	4.5.1
4.4.x	4.4.3
4.3.x	4.3.5
4.2.x	4.2.6
4.1.x	4.5.1 (推奨)
4.0.x	4.5.1 (推奨)
3.16.x	3.16.11
3.9.x	3.16.11 3.9.17
さらに古いバージョン (3.9 よりも前)	現行バージョン 4.4.1 4.3.4 エンタープライズリリース 4.5.1 (推奨) 3.16.11 3.9.17

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポートチケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー	アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンスリリースが公開されます。バイナリ形式のパッチがリリースされることはありません。
セキュリティ問題に関する重大度の基準	アトラシアンのセキュリティアドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー	アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

前の記事次の記事

Jira Service Desk セキュリティ アドバイザリ 2019-11-06