Jira セキュリティ勧告 2019-09-18
Jira Server - Jira Importers プラグインのテンプレート インジェクション - CVE-2019-15001
| 要約 | CVE-2019-15001 - Jira Importers プラグインのテンプレート インジェクション |
|---|---|
| 勧告のリリース日 | 10:00 AM PDT (太平洋標準時、ー7 時間) |
| 製品 | Jira Server および Jira Data Center 注: Jira Software、Jira Core、Jira Service Desk を含みます。 Jira Cloud のお客様は影響を受けません。 リストにあるバージョンは、Jira Core と Jira Software です。互換性マトリクスでお使いの Jira Service Desk バージョンに対応するバージョンをご確認ください。 |
影響を受ける Jira Server および Jira Data Center のバージョン |
|
修正された Jira Server および Jira Data Center のバージョン |
|
| CVE ID | CVE-2019-15001 |
脆弱性の概要
このアドバイザリーは、Jira Server & Jira Data Center のバージョン 7.0.10 で発生した重大なセキュリティの脆弱性を開示します。この脆弱性の影響を受ける Jira Server および Jira Data Center のバージョン:
- 7.0.10 以降 7.6.16 より前 (7.6.16 で修正済み)
- from 7.7.0 before 7.13.8 (fixed in 7.13.8)
- from 8.0.0 before 8.1.3 (fixed in 8.1.3)
- from 8.2.0 before 8.2.5 (fixed in 8.2.5)
- from 8.3.0 before 8.3.4 (fixed in 8.3.4)
- from 8.4.0 before 8.4.1 (fixed in 8.4.1)
Atlassian Cloud インスタンスは、このページに記載されている問題を含まない Jira のバージョンにすでにアップグレードされています。
Jira Server および Jira Data Center をバージョン 7.13.8、8.1.3、8.2.5、8.3.4、8.4.1 以降にアップグレードした顧客は、影響を受けません。
上の影響を受けるバージョンのリストのいずれかを使用している顧客は、Jira Server および Jira Data Center を直ちにアップグレードして、この脆弱性を修正してください。
Jira Importers プラグインのテンプレート インジェクション
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
説明
Jira Server と Data Center の Jira Importers プラグイン (JIM) に、サーバー側のテンプレート インジェクションの脆弱性がありました。「Jira 管理者」アクセスを持つ攻撃者は、この問題を悪用できます。この問題が悪用されると、攻撃者はシステムでコードをリモートで実行し、脆弱なバージョンの Jira Server または Data Center を実行します。
Jira Server および Jira Data Center の 7.0.10 以降7.6.16 の前まで、7.7.0 以降 7.13.8 の前まで (7.13.x の修正バージョン)、8.1.0 以降 8.1.3 の前まで (8.1.x の修正バージョン)、8.2.0 以降 8.2.5 の前まで (8.2.x の修正バージョン)、8.3.0 以降 8.3.4 の前まで (8.3.x の修正バージョン)、8.4.0 以降 8.4.1 の前まで (8.4.x の修正バージョン) が、この脆弱性の影響を受けます。
この課題は、こちらから追跡できます。JRASERVER-69933 - 問題の詳細を取得中... ステータス
謝辞
この脆弱性を発見した Daniil Dmitriev 氏に感謝いたします。
修正
この問題に対処するため、Jira Server および Jira Data Center の以下のバージョンをリリースしました。
- 8.4.1 which is available for download from https://www.atlassian.com/software/jira/core/download
- 8.3.4 which is available for download from https://www.atlassian.com/software/jira/core/update
- 8.2.5 which is available for download from https://www.atlassian.com/software/jira/core/update
- 8.1.3 which is available for download from https://www.atlassian.com/software/jira/core/update
- 7.13.8 which is available for download from https://www.atlassian.com/software/jira/core/update
- 7.6.16 which is available for download from https://www.atlassian.com/software/jira/core/update
この問題に対処するため、Jira Software Server の以下のバージョンをリリースしました。
- 8.4.1 which is available for download from https://www.atlassian.com/software/jira/download
- 8.3.4 which is available for download from https://www.atlassian.com/software/jira/update
- 8.2.5 which is available for download from https://www.atlassian.com/software/jira/update
- 8.1.3 which is available for download from https://www.atlassian.com/software/jira/update
- 7.13.8 which is available for download from https://www.atlassian.com/software/jira/update
- 7.6.16 which is available for download from https://www.atlassian.com/software/jira/update
必要なアクション
問題の軽減策
Jira をすぐにアップグレードできない場合、または Jira Cloud に移行中である場合は、一時的な回避策として、次のエンドポイントへの PUT 要求をブロックできます。
- /rest/jira-importers-plugin/1.0/demo/create
次の事例つきのナレッジ ベース記事でこの実行方法を確認し、回避策を 1 つ選択してください。
Jira を修正バージョンにアップグレードした後、エンドポイントのブロックを解除できます。
Jira Importers Plugin は無効にしないでください。
JIRA のアップグレード
最新バージョンにアップグレードすることをお勧めします。Jira Server および Jira Data Center の最新バージョンの詳細一覧については、リリース ノートをご覧ください。Jira Server および Jira Data Center の最新バージョンは、ダウンロード センターからダウンロードできます。
Jira Server および Jira Data Center を、バージョン 8.4.1 以上にアップグレードしてください。
最新バージョン (8.4.1) にアップグレードできない場合は、以下を実行してください。
(1) 現行のフィーチャー バージョン (2018 年 12 月 10 日以降にリリースされたフィーチャー バージョン) を使用している場合は、現在のフィーチャー バージョンの次に出されたバグ修正バージョンにアップグレードします。
If you have feature version… | …then upgrade to this bugfix version: |
|---|---|
| 8.0.x | 8.1.3 |
| 8.1.x | 8.1.3 |
| 8.2.x | 8.2.5 |
| 8.3.x | 8.3.4 |
| 8.4.x | 8.4.1 |
(2) 現行のエンタープライズ リリース バージョン (2017 年 7 月 10 日以降にリリースされたエンタープライズ バージョン) を使用している場合は、最新のエンタープライズ リリース バージョン (7.13.8) にアップグレードします。
使用しているエンタープライズ リリース バージョン… | …then upgrade to this version: |
|---|---|
7.6.x | 7.6.16、7.13.8 (推奨) |
7.13.x | 7.13.8 |
(3) 古いバージョン (2018 年 12 月 10 日以前にリリースされたフィーチャー バージョンまたは 2017 年 7 月 10 日以前にリリースされたエンタープライズ リリース バージョン) を使用している場合は、最新バージョンまたは最新のエンタープライズ リリース バージョン (7.13.8)にアップグレードします。
使用中の古いバージョン… | …then upgrade to any of these versions: |
|---|---|
7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x | 現行バージョン 8.1.3 8.2.5 8.3.4 8.4.1 エンタープライズ リリース 7.6.16 7.13.8 |
サポート
このアドバイザリのメールを受信していないため今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
| セキュリティ バグの修正ポリシー | アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 |
| セキュリティの問題の重大度レベル | アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 |
| サポート終了ポリシー | サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |