Jira Service Desk セキュリティ勧告 2019-09-18
Jira Service Desk Server および Jira Service Desk Data Center - URL パス トラバーサルによる情報漏えいの可能性 - CVE-2019-14994
| 要約 | CVE-2019-14994 - URL パス トラバーサルによる情報漏えいの可能性 |
|---|---|
| 勧告のリリース日 | 10:00 AM PDT (太平洋標準時、ー7 時間) |
| 製品 | Jira Service Desk Server および Jira Service Desk Data Center Jira Service Desk Cloud には影響しません。 Jira Service Desk がインストールされていないインスタンスの Jira Core または Jira Software には影響しません。 |
影響を受ける Jira Service Desk Server および |
|
修正済みの Jira Service Desk バージョン |
|
| CVE ID | CVE-2019-14994 |
脆弱性の概要
このアドバイザリーは、Jira Service Desk Server および Jira Service Desk Data Center の重大なセキュリティの脆弱性を開示しています。3.9.16 より前のバージョン、3.10.0 以降 3.16.8 の前まで、4.0.0 以降 4.1.3 の前まで、4.2.0 以降 4.2.5 の前まで、4.3.0 以降 4.3.4 の前まで、およびバージョン 4.4.0 が、この脆弱性の影響を受けます。
Atlassian Cloud インスタンスはこのページで述べた問題のない Jira Service Management バージョンにすでにアップグレードされています。
Jira Service Desk Server および Jira Service Desk Data Center を 3.9.16、3.16.8、4.1.3、4.2.5、4.3.4、または 4.4.1 にすでにアップグレードしているお客様には影響ありません。
次のバージョンの Jira Service Desk Server および Jira Service Desk Data Center をダウンロードおよびインストールしているお客様は対応が必要です。
- 3.9.16 より前のすべてのバージョン
- 3.10.x
- 3.11.x
- 3.12.x
- 3.13.x
- 3.14.x
- 3.15.x
- 3.16.x3.16.8 より前まで (3.16.x の修正バージョン)
- 4.0.x
- 4.1.x4.1.3 より前まで (4.1.x の修正バージョン)
- 4.2.x4.2.5 より前まで (4.2.x の修正バージョン)
- 4.3.x4.3.4 より前まで (4.3.x の修正バージョン)
- 4.4.0 以降 4.4.1 の前まで (4.4.x の修正バージョン)
Jira Service Desk Server および Jira Service Desk Data Center のインストールを直ちにアップグレードし、この脆弱性を修正してください。
URL パス トラバーサルによる情報漏えいの可能性 - CVE-2019-14994
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
説明
設計上、Jira Service Desk は、カスタマー ポータル ユーザーにリクエストを発行して課題を表示する権限のみを提供します。これにより、ユーザーは Jira への直接のアクセス権なしでカスタマー ポータルを使用できます。これらの制限は、パス トラバーサルの脆弱性を悪用するポータルへのアクセス権 * を持つ攻撃者によって回避されることがあります。悪用により、攻撃者は脆弱なインスタンスに含まれるすべての Jira プロジェクト内のすべての課題を閲覧できます。これには、Jira Service Desk プロジェクト、Jira Core プロジェクト、Jira Software プロジェクトが含まれます。
3.9.16 までのすべての Jira Service Desk のバージョン、3.10.0 以降 3.16.8 の前まで、4.0.0 以降 4.1.3 の前まで、4.2.0 以降 3.2.5 の前まで、4.3.0 以降 4.3.4 の前までのバージョン、およびバージョン 4.4.0 が、この脆弱性の影響を受けます。この課題は、こちらから追跡できます。 JRASERVER-6517 - 課題の詳細を取得中... ステータス
* 攻撃者は、Jira Service Desk ポータルへのアクセス権を自分自身に付与し、Service Desk にメールを送信したり、設定が有効なポータルでリクエストを送信したりできます。このアクセス権限を変更しても、ポータルにアクセスできる攻撃者による悪用に対する脆弱性は削除されません。そのため、アクセス権限の変更はお勧めしません。代わりに、セクション「ユーザー側で必要な操作について」の内容に目を通し、指示に従ってください。
謝辞
この脆弱性を発見した Sam Curry 氏に感謝いたします。
修正
この問題に対処するため、Jira Service Desk Server および Jira Service Desk Data Center の以下のバージョンをリリースしました。
- 4.4.1 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update
- 4.3.4 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update
- 4.2.5 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update
- 4.1.3 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update
- 3.16.8 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update
- 3.9.16 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update
必要なアクション
問題の軽減策
Jira Service Desk をすぐにアップグレードできない場合や、Jira Cloud へ移行中である場合は、次の一時的な回避策を使用できます。
- リバース プロキシまたは負荷分散レベルでの
..を含む Jira へのリクエストをブロックするか、 ..を含むリクエストを安全な URL にリダイレクトするよう Jira を設定する[jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xmlの<urlrewrite>セクションに以下を追加します。<rule> <from>^/[^?]*\.\..*$</from> <to type="temporary-redirect">/</to> </rule>- 上記の変更を保存した後、Jira を再起動します。
この緩和策は、Jira Service Desk アップグレード後は削除できます。
Jira Service Desk をアップグレードする
最新バージョンにアップグレードすることをお勧めします。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンの説明全文については、「リリース ノート」を参照してください。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンは、ダウンロード センターからダウンロードできます。
以下のバージョンに Jira Service Desk をアップグレードしてください。
Jira Service Desk のアップグレードには、Jira Core のアップグレードも必要になります。互換性マトリクスで、お使いの Jira Service Desk バージョンに対応するバージョンをご確認ください。
| 現在のバージョン | 今回インストールするバグ修正バージョン |
|---|---|
4.4.0 | 4.4.1 |
4.3.x | 4.3.4 |
4.2.x | 4.2.5 |
4.1.x | 4.1.3 |
3.16.x | 3.16.8 |
3.9.x | 3.16.8 (推奨) 3.9.16 |
古いバージョン | 現行バージョン: 4.4.1 4.3.4 エンタープライズ リリース 3.16.8 再ランク付け(推奨) 3.9.16 |
悪用されたか確認するには
Jira ナレッジ ベースに、Jira Service Desk インスタンスを悪用する試みがあったかどうかを判断する方法が記載されています。
注: アトラシアンでは、この脆弱性が実際に悪用された証拠は把握していません。
サポート
このアドバイザリのメールを受信していないため今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
| セキュリティ バグの修正ポリシー | アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 |
| セキュリティの問題の重大度レベル | アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 |
| サポート終了ポリシー | サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |