Jira セキュリティ勧告 2017-03-09
JIRA Server - JIRA ワークフロー デザイナー プラグインにおける XXE/逆シリアル化
要約 | 匿名ユーザーは、リモート コード実行やプライベート ファイルの開示の原因となる可能性がある、脆弱な Jira インスタンスに対する複数の攻撃を実行したり、Jira サーバーに対してサービス拒否攻撃を実行したりできます。 |
---|---|
リリース日 | |
製品 | JIRA Server |
影響を受けるバージョン |
|
脆弱性の概要
匿名ユーザーは、リモート コード実行やプライベート ファイルの開示の原因となる可能性がある、脆弱な Jira インスタンスに対する複数の攻撃を実行したり、Jira サーバーに対してサービス拒否攻撃を実行したりできます。
このアドバイザリーは、Jira Server のバージョン 4.2.4 で発生した重大なセキュリティの脆弱性を開示します。4.2.4 以上 6.3.0 未満の JIRA Server のバージョンが、この脆弱性の影響を受けます。
JIRA Server をバージョン 6.3.0 以上にアップグレードしたお客様には、影響はありません。
4.2.4 以上、6.3.0 未満の JIRA Server バージョンを実行しているお客様
Jira Server のインストールを直ちにアップグレードして、この脆弱性を修正してください。
JIRA ワークフロー デザイナー プラグインの複数の脆弱性
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
This is an independent assessment and you should evaluate its applicability to your own IT environment.
説明
匿名ユーザーは、リモート コード実行やプライベート ファイルの開示の原因となる可能性がある、脆弱な Jira インスタンスに対する複数の攻撃を実行したり、Jira サーバーに対してサービス拒否攻撃を実行したりできます。この脆弱性は、Jira での XML パーサーとデシリアライザの使用方法が原因で発生します。
All versions of JIRA Server up, but not including 6.3.0 are affected by this vulnerability. This issue can be tracked here: JRA-64077 - Getting issue details... STATUS
謝辞
この課題は Code White 社の Markus Wulftange 氏によって報告されました。
必要なアクション
Upgrade (recommended)
アトラシアンでは、最新バージョンへのアップグレードをお勧めします。Jira Server の最新バージョン全体に関する説明は、リリース ノートをご確認ください。Jira Server の最新バージョンは、アトラシアンの Web サイトからダウンロードできます。
JIRA Server をバージョン 6.3.0 にアップグレードします。
Jira Server 6.4 のアトラシアン サポートは 2017 年 3 月 17 日に終了します。このため、Jira Software バージョン (7.0 以降) へのアップグレードをお勧めします。サポート終了とアップグレード プロセスの詳細については、次のリソースを参照してください。
サポート
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
セキュリティ バグの修正ポリシー | Atlassian の新しいポリシーにあるように、重大なセキュリティ バグの修正は、Jira と Confluence のメジャー ソフトウェア バージョンで最大 12 か月さかのぼってバックポートされます。新しいポリシーに挙げるバージョンについては、バイナリ パッチではなく新しいメンテナンス リリースを提供します。 Binary patches will no longer be released. |
セキュリティの問題の重大度レベル | アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 |
サポート終了ポリシー | サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |