クラウド
Data Center 9.15
バージョン

Jira Data Center および Jira Service Management Data Center のセキュリティ勧告 2021-07-21

セキュリティの概要および勧告

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Jira Data Center & Jira Service Management Data Center - Missing Authentication for Ehcache RMI - CVE-2020-36239

要約

CVE-2020-36239 - Missing Authentication for Ehcache RMI

勧告のリリース日

 午前 10 時 (太平洋時間、UTC -7)


製品

  • Jira Data Center

    • Jira Software Data Center

    • Jira Core Data Center

  • Jira Service Management Data Center

注: Jira Data Center には Jira Software Data Center と Jira Core Data Center が含まれます。


Jira Server (Core&Software) と Jira Service Management の非 Data Center インスタンスは影響を受けません。

Jira Cloud のお客様は影響を受けません。

Jira Service Management Cloud のお客様は影響を受けません。

影響を受けるバージョン

Jira Data Center、Jira Core Data Center、および Jira Software Data Center の次の範囲

  • 6.3.0 <= バージョン < 8.5.16

  • 8.6.0 <= バージョン < 8.13.8

  • 8.14.0 <= バージョン < 8.17.0


Jira Service Management Data Center の次の範囲

  • 2.0.2 <= バージョン < 4.5.16

  • 4.6.0 <= バージョン < 4.13.8

  • 4.14.0 <= バージョン < 4.17.0


Jira Data Center、Jira Core Data Center、および Jira Software Data Center

  • すべての 6.3.x、6.4.x バージョン

  • すべての 7.0.x、7.1.x、7.2.x、7.3.x、7.4.x、7.5.x、7.6.x、7.7.x、7.8.x、7.9.x、7.10.x、7.11.x、7.12.x、7.13.x バージョン

  • すべての 8.0.x、8.1.x、8.2.x、8.3.x、8.4.x バージョン

  • 8.5.16 よりも前のすべての 8.5.x バージョン

  • すべての 8.6.x、8.7.x、8.8.x、8.9.x、8.10.x、8.11.x、8.12.x バージョン

  • 8.13.8 よりも前のすべての 8.13.x バージョン

  • すべての 8.14.x、8.15.x、8.16.x バージョン

Jira Service Management Data Center

  • 2.0.2 よりもあとのすべての 2.x.x バージョン

  • すべての 3.x.x バージョン

  • すべての 4.0.x、4.1.x、4.2.x、4.3.x、4.4.x バージョン

  • 4.5.16 よりも前のすべての 4.5.x バージョン

  • すべての 4.6.x、4.7.x、4.8.x、4.9.x、4.10.x、4.11.x、4.12.x バージョン

  • 4.13.8 よりも前のすべての 4.13.x バージョン

  • すべての 4.14.x、4.15.x、4.16.x バージョン

修正済みバージョン - Jira Data Center、Jira Core Data Center、および Jira Software Data Center

  • 8.5.x LTS についてはバージョン 8.5.16

  • 8.13.x LTS についてはバージョン 8.13.8

  • バージョン 8.17.0

修正済みバージョン - Jira Service Management Data Center

  • 4.5.x LTS についてはバージョン 4.5.16

  • 4.13.x LTS についてはバージョン 4.13.8

  • バージョン 4.17.0

CVE ID

CVE-2020-36239


脆弱性の概要

この勧告は、Jira Data Center、Jira Core Data Center、Jira Software Data Center、および Jira Service Management (バージョン 4.14 までは Jira Service Desk) のバージョン 6.3.0 で導入されたクリティカルな重要度のセキュリティ脆弱性を発表します。Jira Data Center と Jira Service Management Data Center の影響を受けるバージョンは上述の表 ("影響を受けるバージョン" を参照) で確認できます。

"影響を受けるバージョン" セクションに記載されているバージョンをダウンロードおよびインストールしたお客様は、この脆弱性を修正するためにインストールを即座にアップグレードする必要があります。

  • Jira Data Center

  • Jira Core Data Center

  • Jira Software Data Center

  • Jira Service Management Data Center

Atlassian Cloud は、このページに記載されている問題の影響を受けません

Jira Cloud は影響を受けません。

Jira Service Management Cloud は影響を受けません

Jira Server (Core&Software) と Jira Service Management の非 Data Center インスタンスは、このページに記載されている問題の影響を受けません。

cluster.properties ファイルのない単一ノードの Data Center インスタンスは、影響を受けません。

Jira Data Center、Jira Core Data Center、Jira Software Data Center の次のバージョン

  • 8.5.16

  • 8.13.8

  • 8.17.0

および Jira Service Management Data Center の次のバージョン

  • 4.5.16

  • 4.13.8

  • 4.17.0

以降にアップグレードしたお客様は影響を受けません。


Missing Authentication for Ehcache RMI - CVE-2020-36239
Severity

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

Jira Data Center、Jira Core Data Center、Jira Software Data Center、および Jira Service Management Data Center では Ehcache EMI ネットワーク サービスが開示されており、これにより、ポート 40001 および潜在的に 40011[0][1][2] でサービスに接続できる攻撃者が、認証が不足している脆弱性を利用し、デシリアライゼーションを通じて Jira 内で任意のコードを実行できます。アトラシアンでは Ehcache ポートへのアクセスを Data Center インスタンスのみにすることを強く推奨していますが、Jira の修正済みバージョンでは Ehcache サービスへのアクセスを許可するために共有秘密鍵を要求するようにしています。

[0] Jira Data Center、Jira Core Data Center、および Jira Software Data Center の 7.13.1 よりも前のバージョンでは、Ehcache オブジェクト ポートはランダムに割り当てられる可能性があります。

[1] Jira Service Management Data Center の3.16.1 よりも前のバージョンでは、Ehcache オブジェクト ポートはランダムに割り当てられる可能性があります。

[2] デフォルトの Ehcache ポートは 40001 ですが、別のポートにするように構成できます。詳細については「Jira Data Center のインストール」をご確認ください。


この脆弱性の影響を受ける Jira Data Center、Jira Core Data Center、および Jira Software Data Center バージョンは次のとおりです。

  • バージョン 6.3.0 から 8.5.16 まで (8.5.x の修正済みバージョン)

  • バージョン 8.6.0 から 8.13.8 まで (8.13.x の修正済みバージョン)

  • バージョン 8.14.0 から 8.17.0 まで

この脆弱性の影響を受ける Jira Service Management Data Center バージョンは次のとおりです。

  • バージョン 2.0.2 から 4.5.16 まで (4.5.x の修正済みバージョン)

  • バージョン 4.6.0 から 4.13.8 まで (4.13.x の修正済みバージョン)

  • バージョン 4.14.0 から 4.17.0 まで

この課題は次のリンクで追跡できます。

謝辞

この脆弱性を発見した Harrison Neal に感謝します。

修正

これらの問題に対応するため、Jira Data Center、Jira Core Data Center、および Jira Software Data Center を次のようにリリースしました。

  • この問題の修正を含む 8.5.16

  • この問題の修正を含む 8.13.8

  • この問題の修正を含む 8.17.0

Jira Service Management Data Center の次のバージョン

  • この問題の修正を含む 4.5.16

  • この問題の修正を含む 4.13.8

  • この問題の修正を含む 4.17.0

これらのバージョンは次のリンクからダウンロードできます。

必要なアクション

最新バージョンにアップグレードすることをおすすめします。また、こちらの手順や、このページの問題の緩和策セクションにある情報に従い、Ehcache RMI ポートへのアクセスを制限することをおすすめします。最新バージョンの完全な説明については、Jira Data Center (こちら)、Jira Software Data Center (こちら)、および Jira Service Management Data Center (こちら) のリリース ノートをご確認ください。Jira Data Center と Jira Service Management Data Center の最新バージョンはダウンロード センターからダウンロードできます (Jira Data Center | Jira Service Management Data Center)。


Jira Data Center をバージョン 8.17.0 以降にアップグレードします。

8.17.0 にアップグレードできない場合は 8.5.16 または 8.13.8 にアップグレードします。


Jira Service Management Data Center をバージョン 4.17.0 以降にアップグレードします。

4.17.0 にアップグレードできない場合は 4.5.16 または 4.13.8 にアップグレードします。


問題の軽減策

ファイアウォールまたは同様の技術を使い、Jira Data Center、Jira Core Data Center、Jira Software Data Center、および Jira Service Management Data Center の Ehcache RMI ポートへのアクセスをクラスタ インスタンスのみに制限します。

Data Center のクラスタ ノードは引き続き、他のクラスタ ノードの Ehcache ポートにアクセスできる必要があります。

Jira Data Center、Jira Core Data Center、および Jira Software Data Center バージョン 7.13.1 以降では、次のポートをクラスタ インスタンスに制限する必要があります。

  • ポート 40001 

  • ポート 40011

  • Jira Data Center のインストール」の手順に従ってデフォルトの Ehcache RMI ポートの使用から変更した場合、クラスタ インスタンスへのアクセスを Ehcache RMI で使用するように構成した特定のポートに制限します。

Jira Data Center、Jira Core Data Center、および Jira Software Data Center バージョン 7.13.0 以前では、次のポートをクラスタ インスタンスに制限する必要があります。

  • ポート 40001

  • ポート 40011

  • ports in the range 1024-65536 (in version 7.3.1 and above you can apply the workaround detailed in https://jira.atlassian.com/browse/JRASERVER-66608 to avoid needing to restrict access to these ports)

  • Jira Data Center のインストール」の手順に従ってデフォルトの Ehcache RMI ポートの使用から変更した場合、クラスタ インスタンスへのアクセスを Ehcache RMI で使用するように構成した特定のポートに制限します。


Jira Service Management Data Center バージョン 3.16.1 以降では、次のポートをクラスタ インスタンスに制限する必要があります。

  • ポート 40001

  • ポート 40011

  • Jira Data Center のインストール」の手順に従ってデフォルトの Ehcache RMI ポートの使用から変更した場合、クラスタ インスタンスへのアクセスを Ehcache RMI で使用するように構成した特定のポートに制限します。

Jira Service Management Data Center バージョン 3.16.0 以前では、次のポートを制限する必要があります。

  • ポート 40001

  • ポート 40011

  • ports in the range 1024-65536 (in version 3.3.1 and above you can apply the workaround detailed in https://jira.atlassian.com/browse/JRASERVER-66608 to avoid needing to restrict access to these ports)

  • Jira Data Center のインストール」の手順に従ってデフォルトの Ehcache RMI ポートの使用から変更した場合、クラスタ インスタンスへのアクセスを Ehcache RMI で使用するように構成した特定のポートに制限します。


サポート

このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

参考

セキュリティ バグの修正ポリシー

アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベル

アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。

サポート終了ポリシー

サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 

最終更新日 2021 年 8 月 29 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.