Jira Server for Slack セキュリティ勧告 2021-02-17
脆弱性の概要
このアドバイザリーは、Jira Server for Slack プラグインの重大なセキュリティの脆弱性を開示しています。このプラグインの 2.0.14 までのすべてのバージョンがこの脆弱性の影響を受けます。このプラグインがインストールされていない Jira Server インスタンスおよび Data Center インスタンスには、脆弱性の影響はありません。デフォルトでは、このプラグインは Jira Server インスタンスおよび Data Center インスタンスにはインストールされません。ただし、Jira Server インスタンスおよび Data Center インスタンスにこのプラグインがインストールされている場合は、インストールをバージョン 2.0.15 にすぐにアップグレードしてこの脆弱性を修正してください。また、これはどの Jira Cloud インスタンスにも影響しないことに注意してください。
Jira Server for Slack のリモート コード実行 (CVE-2021-26068)
深刻度
アトラシアンは、アトラシアンの重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルをクリティカルとして評価しています。このスケールによって、重大度をクリティカル、高、中、低として評価できます。
これは Atlassian の評価であるため、お客様自身の IT 環境への適用性を評価する必要があります。
説明
Jira Server for Slack プラグインに影響するリモート コード実行に関する脆弱性があります。この脆弱性は、認証された Jira ユーザーが影響を受けるエンドポイントに不正なペイロードを送信することで悪用される可能性があります。この脆弱性の不正利用に成功すると、システム上で攻撃者によって任意のコードが実行される可能性があります。
この脆弱性は、2.0.14 までのすべてのバージョンに影響します。
謝辞
この脆弱性は、Muhamad Visat 氏によって発見されて報告されました。
修正
弊社ではこの問題に対応するために次の対応を行いました。
この課題の修正が含まれる、リリースされたバージョン 2.0.15。
必要なアクション
Jira Server/DC インスタンスに脆弱なプラグインがインストールされているかどうかを確認します。これを行うには、アプリケーションに移動して「Jira Server for Slack」プラグインを検索します。インストールされている場合はバージョンを確認します。バージョンが 2.0.15 未満の場合、インスタンスは脆弱です。
最新バージョンにアップグレードします。アプリの更新方法について詳しくは、こちらをご覧ください。
最新バージョンの Jira Server for Slack について詳しくは、リリース ノート (https://marketplace.atlassian.com/apps/1220099/jira-server-for-slack-official/version-history) を参照してください。Atlassian Marketplace からプラグインの最新バージョンをダウンロードできます。
サポート
このアドバイザリのメールを受信していないため今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。
このアドバイザリに関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。