Jira セキュリティ勧告 2019-07-10

Jira Server - 各種リソースのテンプレート インジェクション - CVE-2019-11581

要約

CVE-2019-11581 - 各種リソースのテンプレート インジェクション

勧告のリリース日

AM PDT (太平洋標準時、ー7 時間)

製品

Jira Server と Jira Data Center

注: Jira Software、Jira Core、Jira Service Desk を含みます。Jira Cloud の顧客は影響を受けません。

記載されているバージョンは、Jira Core および Jira Software のバージョンです。互換性マトリクスで、お使いの Jira Service Desk バージョンに対応するバージョンをご確認ください。

影響を受ける Jira Server および Jira Data Center のバージョン

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.x before 7.6.14 (the fixed version for 7.6.x)
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.x (7.13.5 の前まで) (7.13.x の修正バージョン)
  • 8.0.x (8.0.3 の前まで) (8.0.x の修正バージョン)
  • 8.1.x before 8.1.2 (the fixed version for 8.1.x)
  • 8.2.x (8.2.3 の前まで) (8.2.x の修正バージョン)

修正された Jira Server および Jira Data Center のバージョン

  • 7.6.14
  • 7.13.5
  • 8.0.3
  • 8.1.2
  • 8.2.3
  • 8.2.4
CVE IDCVE-2019-11581

脆弱性の概要

このアドバイザリーは、Jira Server および Jira Data Center のバージョン 4.4.0 で発生した重大なセキュリティの脆弱性を開示します。この脆弱性の影響を受ける Jira Server および Jira Data Center のバージョンは次のとおりです。

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.x before 7.6.14 (the fixed version for 7.6.x)
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.x (7.13.5 の前まで) (7.13.x の修正バージョン)
  • 8.0.x (8.0.3 の前まで) (8.0.x の修正バージョン)
  • 8.1.x (8.1.2 より前) (8.1.x の修正バージョン)
  • 8.2.x (8.2.3 より前)(8.2.x の修正バージョン)


Jira Server および Jira Data Center を、バージョン 7.6.14、7.13.5、8.0.3、8.1.2、8.2.3 または 8.2.4 にアップグレードしているお客様には、影響はありません。

Jira Cloud を使用しているお客様には、影響はありません。

次のバージョンの Jira Server および Jira Data Center をダウンロードおよびインストールしているお客様は対応が必要です。

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.x before 7.6.14 (the fixed version for 7.6.x)
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.x (7.13.5 の前まで) (7.13.x の修正バージョン)
  • 8.0.x (8.0.3 の前まで) (8.0.x の修正バージョン)
  • 8.1.x (8.1.2 より前) (8.1.x の修正バージョン)
  • 8.2.x (8.2.3 の前まで) (8.2.x の修正バージョン)

ご使用中の Jira Server および Jira Data Center を直ちアップグレードして、この脆弱性を修正してください。

Jira Service Desk の 3.0.0 から、4.2.3 の前まで、バージョンをダウンロードおよびインストールしているお客様は、影響を受ける可能性があります。

上記のバージョンは、Jira Software および Jira Core のバージョンです。互換性マトリクスで、お使いの Jira Service Desk バージョンに対応するバージョンをご確認ください。

各種リソースのテンプレート インジェクション - CVE-2019-11581

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

Jira Server と Data Center の ContactAdministrators および SendBulkMail アクションに、サーバー側のテンプレート インジェクションの脆弱性がありました。この問題は、次の条件のうちの少なくとも 1 つが満たされた場合に悪用されるおそれがあります。

  • SMTP サーバーが Jira で設定されており、管理者連絡フォームが有効になっている
  • SMTP サーバーが Jira で設定されており、攻撃者に「Jira 管理者」の権限がある

1 つ目の、管理者連絡フォームが有効になっているケースでは、攻撃者は認証なしにこの問題を悪用できます。2 つ目のケースでは、攻撃者に「Jira 管理者」の権限があればこの問題を悪用できます。いずれの場合も、この問題が悪用された場合、攻撃者はシステムでコードをリモートによって実行し、脆弱なバージョンの Jira Server または Data Center を実行します。


Jira Server および Data Center の 4.4.0 以降 7.6.14 の前まで (7.6.x の修正バージョン)、7.7.0 以降 7.13.5 の前まで (7.13.x の修正バージョン)、8.0.0 以降 8.0.3 の前まで (8.0.x の修正バージョン)、8.1.0 以降 8.1.2 の前まで (8.1.x の修正バージョン)、8.2.0 以降 8.2.3 の前までのバージョンが、この脆弱性の影響を受けます。この問題は、こちらから追跡できます。 JRASERVER-69532 - 問題の詳細を取得中... ステータス

謝辞

この脆弱性を発見した Daniil Dmitriev 氏に感謝いたします。

修正

この問題に対処するため、Jira Server および Jira Data Center の以下のバージョンをリリースしました。

必要なアクション

問題の軽減策

Jira をすぐにアップグレードできない場合は、次の一時的な回避策を使用できます。

  1. 管理者連絡フォームを無効化し、エンドポイント /secure/ContactAdministrators をブロックします。
  2. 次のエンドポイントへのアクセスをブロックします。
    /secure/admin/SendBulkMail!default.jspa 
    /admin/SendBulkMail!default.jspa 
    /SendBulkMail!default.jspa 

    エンドポイント SendBulkMail をブロックすると、Jira 管理者はユーザーにメールの一括送信ができなくなる点にご注意ください。

エンドポイントは、リバース プロキシまたはロード バランサーでアクセスを拒否することによりブロックできます。

Jira のアップグレードが完了したら、管理者連絡フォームを再度有効にし、エンドポイント SendBulkMail のブロックを解除します。


JIRA のアップグレード

最新バージョンにアップグレードすることをお勧めします。Jira Server および Jira Data Center の最新バージョンの詳細一覧については、リリース ノートをご覧ください。Jira Server および Jira Data Center の最新バージョンは、ダウンロード センターからダウンロードできます。

Jira Server および Jira Data Center を、バージョン 8.2.4 以上にアップグレードしてください。


最新バージョン (8.2.4) にアップグレードできない場合は、以下を実行してください。

(1) 現行のフィーチャー バージョン (2018 年 12 月 10 日以降にリリースされたフィーチャー バージョン) を使用している場合は、現在のフィーチャー バージョンの次に出されたバグ修正バージョンにアップグレードします。

If you have feature version…

…then upgrade to this bugfix version:

8.0.x8.0.3
8.1.x8.1.2


(2) 現行のエンタープライズ リリース バージョン (2017 年 7 月 10 日以降にリリースされたエンタープライズ バージョン) を使用している場合は、最新のエンタープライズ リリース バージョン (7.13.5) にアップグレードします。

エンタープライズ リリース 7.6 のサポートは 2019 年 11 月に終了します。最新のエンタープライズ リリース バージョン (7.13.5) にアップグレードできない場合は、7.6.14 にアップグレードしてください。

使用しているエンタープライズ リリース バージョン…

…then upgrade to this version:

7.6.x

7.13.5 再ランク付け(推奨)

7.6.14

7.13.x

7.13.5


(3) 古いバージョン (2018 年 12 月 10 日以前にリリースされたフィーチャー バージョンまたは 2017 年 7 月 10 日以前にリリースされたエンタープライズ リリース バージョン) を使用している場合は、最新バージョンまたは最新のエンタープライズ リリース バージョン (7.13.5)にアップグレードします。

If you have older version…

…then upgrade to any of these versions:

4.4.x

5.x.x

6.x.x

7.0.x

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

現行バージョン

8.0.3

8.1.2

8.2.3

エンタープライズ リリース

7.6.14

7.13.5 再ランク付け(推奨)

サポート

このアドバイザリのメールを受信していないため今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

インスタンスの安全性が低下していないか判断する方法については、「Jira インスタンスの安全性が CVE-2019-11581 によって低下していないか確認する」を参照してください。

参考

セキュリティ バグの修正ポリシー

As per our new policy critical security bug fixes will be back ported in accordance with https://www.atlassian.com/trust/security/bug-fix-policy. We will release new maintenance releases for the versions covered by the policy instead of binary patches.

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベルアトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。
サポート終了ポリシーサポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 
Last modified on Mar 3, 2021

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.