Jira Data Center および Jira Service Management Data Center のセキュリティ勧告 2021-07-21
Jira Data Center & Jira Service Management Data Center - Missing Authentication for Ehcache RMI - CVE-2020-36239
要約 | CVE-2020-36239 - Missing Authentication for Ehcache RMI |
---|---|
勧告のリリース日 | 午前 10 時 (太平洋時間、UTC -7) |
製品 |
注: Jira Data Center には Jira Software Data Center と Jira Core Data Center が含まれます。 Jira Server (Core&Software) と Jira Service Management の非 Data Center インスタンスは影響を受けません。 Jira Cloud のお客様は影響を受けません。 Jira Service Management Cloud のお客様は影響を受けません。 |
影響を受けるバージョン | Jira Data Center、Jira Core Data Center、および Jira Software Data Center の次の範囲
Jira Service Management Data Center の次の範囲
Jira Data Center、Jira Core Data Center、および Jira Software Data Center
Jira Service Management Data Center
|
修正済みバージョン - Jira Data Center、Jira Core Data Center、および Jira Software Data Center |
|
修正済みバージョン - Jira Service Management Data Center |
|
CVE ID | CVE-2020-36239 |
脆弱性の概要
この勧告は、Jira Data Center、Jira Core Data Center、Jira Software Data Center、および Jira Service Management (バージョン 4.14 までは Jira Service Desk) のバージョン 6.3.0 で導入されたクリティカルな重要度のセキュリティ脆弱性を発表します。Jira Data Center と Jira Service Management Data Center の影響を受けるバージョンは上述の表 ("影響を受けるバージョン" を参照) で確認できます。
"影響を受けるバージョン" セクションに記載されているバージョンをダウンロードおよびインストールしたお客様は、この脆弱性を修正するためにインストールを即座にアップグレードする必要があります。
Jira Data Center
Jira Core Data Center
Jira Software Data Center
Jira Service Management Data Center
Atlassian Cloud は、このページに記載されている問題の影響を受けません。
Jira Cloud は影響を受けません。
Jira Service Management Cloud は影響を受けません。
Jira Server (Core&Software) と Jira Service Management の非 Data Center インスタンスは、このページに記載されている問題の影響を受けません。
cluster.properties ファイルのない単一ノードの Data Center インスタンスは、影響を受けません。
Jira Data Center、Jira Core Data Center、Jira Software Data Center の次のバージョン
8.5.16
8.13.8
8.17.0
および Jira Service Management Data Center の次のバージョン
4.5.16
4.13.8
4.17.0
以降にアップグレードしたお客様は影響を受けません。
Missing Authentication for Ehcache RMI - CVE-2020-36239
Severity
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
説明
Jira Data Center、Jira Core Data Center、Jira Software Data Center、および Jira Service Management Data Center では Ehcache EMI ネットワーク サービスが開示されており、これにより、ポート 40001 および潜在的に 40011[0][1][2] でサービスに接続できる攻撃者が、認証が不足している脆弱性を利用し、デシリアライゼーションを通じて Jira 内で任意のコードを実行できます。アトラシアンでは Ehcache ポートへのアクセスを Data Center インスタンスのみにすることを強く推奨していますが、Jira の修正済みバージョンでは Ehcache サービスへのアクセスを許可するために共有秘密鍵を要求するようにしています。
[0] Jira Data Center、Jira Core Data Center、および Jira Software Data Center の 7.13.1 よりも前のバージョンでは、Ehcache オブジェクト ポートはランダムに割り当てられる可能性があります。
[1] Jira Service Management Data Center の3.16.1 よりも前のバージョンでは、Ehcache オブジェクト ポートはランダムに割り当てられる可能性があります。
[2] デフォルトの Ehcache ポートは 40001 ですが、別のポートにするように構成できます。詳細については「Jira Data Center のインストール」をご確認ください。
この脆弱性の影響を受ける Jira Data Center、Jira Core Data Center、および Jira Software Data Center バージョンは次のとおりです。
バージョン 6.3.0 から 8.5.16 まで (8.5.x の修正済みバージョン)
バージョン 8.6.0 から 8.13.8 まで (8.13.x の修正済みバージョン)
バージョン 8.14.0 から 8.17.0 まで
この脆弱性の影響を受ける Jira Service Management Data Center バージョンは次のとおりです。
バージョン 2.0.2 から 4.5.16 まで (4.5.x の修正済みバージョン)
バージョン 4.6.0 から 4.13.8 まで (4.13.x の修正済みバージョン)
バージョン 4.14.0 から 4.17.0 まで
この課題は次のリンクで追跡できます。
- JRASERVER-72566 - 課題詳細を取得中... ステータス
謝辞
この脆弱性を発見した Harrison Neal に感謝します。
修正
これらの問題に対応するため、Jira Data Center、Jira Core Data Center、および Jira Software Data Center を次のようにリリースしました。
この問題の修正を含む 8.5.16
この問題の修正を含む 8.13.8
この問題の修正を含む 8.17.0
Jira Service Management Data Center の次のバージョン
この問題の修正を含む 4.5.16
この問題の修正を含む 4.13.8
この問題の修正を含む 4.17.0
これらのバージョンは次のリンクからダウンロードできます。
Jira Core Server: https://www.atlassian.com/software/jira/core/download
Jira Software Data Center: https://www.atlassian.com/software/jira/update
Jira Service Management Data Center: https://www.atlassian.com/software/jira/service-management/update
必要なアクション
最新バージョンにアップグレードすることをおすすめします。また、こちらの手順や、このページの問題の緩和策セクションにある情報に従い、Ehcache RMI ポートへのアクセスを制限することをおすすめします。最新バージョンの完全な説明については、Jira Data Center (こちら)、Jira Software Data Center (こちら)、および Jira Service Management Data Center (こちら) のリリース ノートをご確認ください。Jira Data Center と Jira Service Management Data Center の最新バージョンはダウンロード センターからダウンロードできます (Jira Data Center | Jira Service Management Data Center)。
Jira Data Center をバージョン 8.17.0 以降にアップグレードします。
8.17.0 にアップグレードできない場合は 8.5.16 または 8.13.8 にアップグレードします。
Jira Service Management Data Center をバージョン 4.17.0 以降にアップグレードします。
4.17.0 にアップグレードできない場合は 4.5.16 または 4.13.8 にアップグレードします。
問題の軽減策
ファイアウォールまたは同様の技術を使い、Jira Data Center、Jira Core Data Center、Jira Software Data Center、および Jira Service Management Data Center の Ehcache RMI ポートへのアクセスをクラスタ インスタンスのみに制限します。
Data Center のクラスタ ノードは引き続き、他のクラスタ ノードの Ehcache ポートにアクセスできる必要があります。
Jira Data Center、Jira Core Data Center、および Jira Software Data Center バージョン 7.13.1 以降では、次のポートをクラスタ インスタンスに制限する必要があります。
ポート 40001
ポート 40011
- 「Jira Data Center のインストール」の手順に従ってデフォルトの Ehcache RMI ポートの使用から変更した場合、クラスタ インスタンスへのアクセスを Ehcache RMI で使用するように構成した特定のポートに制限します。
Jira Data Center、Jira Core Data Center、および Jira Software Data Center バージョン 7.13.0 以前では、次のポートをクラスタ インスタンスに制限する必要があります。
ポート 40001
ポート 40011
ports in the range 1024-65536 (in version 7.3.1 and above you can apply the workaround detailed in https://jira.atlassian.com/browse/JRASERVER-66608 to avoid needing to restrict access to these ports)
- 「Jira Data Center のインストール」の手順に従ってデフォルトの Ehcache RMI ポートの使用から変更した場合、クラスタ インスタンスへのアクセスを Ehcache RMI で使用するように構成した特定のポートに制限します。
Jira Service Management Data Center バージョン 3.16.1 以降では、次のポートをクラスタ インスタンスに制限する必要があります。
ポート 40001
ポート 40011
- 「Jira Data Center のインストール」の手順に従ってデフォルトの Ehcache RMI ポートの使用から変更した場合、クラスタ インスタンスへのアクセスを Ehcache RMI で使用するように構成した特定のポートに制限します。
Jira Service Management Data Center バージョン 3.16.0 以前では、次のポートを制限する必要があります。
ポート 40001
ポート 40011
ports in the range 1024-65536 (in version 3.3.1 and above you can apply the workaround detailed in https://jira.atlassian.com/browse/JRASERVER-66608 to avoid needing to restrict access to these ports)
- 「Jira Data Center のインストール」の手順に従ってデフォルトの Ehcache RMI ポートの使用から変更した場合、クラスタ インスタンスへのアクセスを Ehcache RMI で使用するように構成した特定のポートに制限します。
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |