Jira セキュリティ勧告 2017-03-09

JIRA Server - JIRA ワークフロー デザイナー プラグインにおける XXE/逆シリアル化

要約

匿名ユーザーは、リモート コード実行やプライベート ファイルの開示の原因となる可能性がある、脆弱な Jira インスタンスに対する複数の攻撃を実行したり、Jira サーバーに対してサービス拒否攻撃を実行したりできます。

リリース日

製品JIRA Server
影響を受けるバージョン
  • 4.2.4<= バージョン < 6.3.0

 

脆弱性の概要

匿名ユーザーは、リモート コード実行やプライベート ファイルの開示の原因となる可能性がある、脆弱な Jira インスタンスに対する複数の攻撃を実行したり、Jira サーバーに対してサービス拒否攻撃を実行したりできます。

このアドバイザリーは、Jira Server のバージョン 4.2.4 で発生した重大なセキュリティの脆弱性を開示します。4.2.4 以上 6.3.0 未満の JIRA Server のバージョンが、この脆弱性の影響を受けます。 

 

JIRA Server をバージョン 6.3.0 以上にアップグレードしたお客様には、影響はありません

4.2.4 以上、6.3.0 未満の JIRA Server バージョンを実行しているお客様

 

Jira Server のインストールを直ちアップグレードして、この脆弱性を修正してください。


JIRA ワークフロー デザイナー プラグインの複数の脆弱性

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

This is an independent assessment and you should evaluate its applicability to your own IT environment.

 

説明

匿名ユーザーは、リモート コード実行やプライベート ファイルの開示の原因となる可能性がある、脆弱な Jira インスタンスに対する複数の攻撃を実行したり、Jira サーバーに対してサービス拒否攻撃を実行したりできます。この脆弱性は、Jira での XML パーサーとデシリアライザの使用方法が原因で発生します。

JIRA Server の 6.3.0 を除くすべてのバージョンが、この脆弱性の影響を受けます。この問題は、JRA-64077 - Getting issue details... (課題情報を取得中...) STATUS で追跡できます。

 

謝辞

この課題は Code White 社の Markus Wulftange 氏によって報告されました。

 

必要なアクション

Upgrade (recommended)

アトラシアンでは、最新バージョンへのアップグレードをお勧めします。Jira Server の最新バージョン全体に関する説明は、リリース ノートをご確認ください。Jira Server の最新バージョンは、アトラシアンの Web サイトからダウンロードできます。

 

JIRA Server をバージョン 6.3.0 にアップグレードします。

Jira Server 6.4 のアトラシアン サポートは 2017 年 3 月 17 日に終了します。このため、Jira Software バージョン (7.0 以降) へのアップグレードをお勧めします。サポート終了とアップグレード プロセスの詳細については、次のリソースを参照してください。 

 

 

サポート

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

参考

セキュリティ バグの修正ポリシー

Atlassian の新しいポリシーにあるように、重大なセキュリティ バグの修正は、Jira と Confluence のメジャー ソフトウェア バージョンで最大 12 か月さかのぼってバックポートされます。新しいポリシーに挙げるバージョンについては、バイナリ パッチではなく新しいメンテナンス リリースを提供します。

Binary patches will no longer be released. 

セキュリティの問題の重大度レベルアトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。
サポート終了ポリシー サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 
Last modified on Mar 3, 2021

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.