クラウド
Data Center 10.4
バージョン

Jira Service Desk セキュリティ勧告 2019-11-06

セキュリティの概要および勧告

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Jira Service Desk Server と Jira Service Desk Data Center - 認証バイパスによる情報漏えいの可能性 - CVE-2019-15003

要約

CVE-2019-15003 - 認証バイパスによる情報漏えいの可能性 & CVE-2019-15004 - URL パス トラバーサルによる情報漏えいの可能性

勧告のリリース日

10:00 AM PDT (太平洋標準時、ー7 時間)

製品

Jira Service Desk Server および Jira Service Desk Data Center

Jira Service Desk Cloud には影響しません。

Jira Service Desk がインストールされていないインスタンスの Jira Core または Jira Software には影響しません。

影響を受ける Jira Service Desk Server および
Jira Service Desk Data Center のバージョン

  • バージョン < 3.9.17
  • 3.10.0 <= バージョン < 3.16.11
  • 4.0.0 <= バージョン< 4.2.6
  • 4.3.0 <= バージョン < 4.3.5
  • 4.4.0 <= バージョン < 4.4.3
  • 4.5.0 <= バージョン < 4.5.1
ここをクリックして展開...

  • 3.9.17 より前のすべてのバージョン

  • 3.10.x

  • 3.11.x

  • 3.12.x

  • 3.13.x

  • 3.14.x

  • 3.15.x

  • 3.16.x3.16.11 より前まで (3.16.x の修正バージョン)

  • 4.0.x

  • 4.1.x

  • 4.2.x4.2.6 より前まで (4.2.x の修正バージョン)

  • 4.3.x4.3.5 より前まで (4.3.x の修正バージョン)

  • 4.4.x4.4.3 より前まで (4.4.x の修正バージョン)
  • 4.5.x4.5.1 より前 (4.5.x の修正バージョン)

修正済みの Jira Service Desk バージョン

CVE IDCVE-2019-15003、CVE-2019-15004

脆弱性の概要

このアドバイザリーは、Jira Service Desk Server と Jira Service Desk Data Center における 2 つの重大なセキュリティの脆弱性(CVE-2019-15003 と CVE-2019-15004) を開示しています。3.9.17 より前のバージョン、3.10.0 以降 3.16.11 の前まで、4.0.0 以降 4.2.6 の前まで、4.3.0 以降 4.3.5 の前まで、4.4.0 以降 4.4.3 の前まで、4.5.0 以降 4.5.1 の前までのバージョンが、これらの脆弱性の影響を受けます。

Atlassian Cloud インスタンスはこのページで述べた問題のない Jira Service Management バージョンにすでにアップグレードされています

Jira Service Desk Server および Jira Service Desk Data Center を、バージョン 3.9.17、3.16.11、4.2.6、4.3.5、4.4.3、4.5.1 にアップグレードした顧客は、影響を受けません

次のバージョンの Jira Service Desk Server および Jira Service Desk Data Center をダウンロードおよびインストールしているお客様は対応が必要です。

  • 3.9.17 より前のすべてのバージョン
  • 3.10.x
  • 3.11.x
  • 3.12.x
  • 3.13.x
  • 3.14.x
  • 3.15.x
  • 3.16.x3.16.11 より前まで (3.16.x の修正バージョン)
  • 4.0.x
  • 4.1.x
  • 4.2.x4.2.6 より前まで (4.2.x の修正バージョン)
  • 4.3.x4.3.5 より前まで (4.3.x の修正バージョン)
  • 4.4.x4.4.3 より前まで (4.4.x の修正バージョン)
  • 4.5.x4.5.1 より前 (4.5.x の修正バージョン)

Jira Service Desk Server および Jira Service Desk Data Center のインストールを直ちにアップグレードし、これらの脆弱性を修正してください。

認証バイパスによる情報漏えいの可能性 - CVE-2019-15003

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

設計上、Jira Service Desk は、カスタマー ポータル ユーザーにリクエストを発行して課題を表示する権限のみを提供します。これにより、ユーザーは Jira への直接のアクセス権なしでカスタマー ポータルを使用できます。これらの制限は、認証バイパスを悪用するポータルへのアクセス権 * を持つ攻撃者によって回避されることがあります悪用により、攻撃者は脆弱なインスタンスに含まれるすべての Jira プロジェクト内のすべての課題を閲覧できます。これには、Jira Service Desk プロジェクト、Jira Core プロジェクト、Jira Software プロジェクトが含まれます。

3.9.17 より前、3.10.0 より前の 3.16.11、4.0.0 より前の 4.2.6、4.3.0 より前の 4.3.5、4.4.0 より前の 4.4.3、4.5.0 より前の 4.5.1 のすべての Jira Service Desk バージョンが影響を受けます。この課題は、こちら追跡できます: https://jira.atlassian.com/browse/JSDSERVER-6590

 * 攻撃者は、Jira Service Management ポータルへのアクセス権を自分自身に付与し、Service Desk にメールを送信したり、設定が有効なポータルでリクエストを送信したりできます。このアクセス権限を変更しても、ポータルにアクセスできる攻撃者による悪用に対する脆弱性は削除されません。アトラシアンでは、許可を変更することをお勧めしません。代わりに、次のセクションに記載されている内容に目を通し、指示に従ってください。

謝辞

この脆弱性を発見した Raphaël Arrouas 氏に感謝いたします。

問題の軽減策

Jira Service Desk をすぐにアップグレードできない場合や、Jira Cloud へ移行中である場合は、次の一時的な回避策を使用できます。

この緩和策は、Jira Service Desk アップグレード後は削除できます。

URL パス トラバーサルによる情報漏えいの可能性 - CVE-2019-15004

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

設計上、Jira Service Desk は、カスタマー ポータル ユーザーにリクエストを発行して課題を表示する権限のみを提供します。これにより、ユーザーは Jira への直接のアクセス権なしでカスタマー ポータルを使用できます。これらの制限は、パス トラバーサルの脆弱性を悪用するポータルへのアクセス権 * を持つ攻撃者によって回避されることがあります。悪用により、攻撃者は脆弱なインスタンスに含まれるすべての Jira プロジェクト内のすべての課題を閲覧できます。これには、Jira Service Desk プロジェクト、Jira Core プロジェクト、Jira Software プロジェクトが含まれます。

3.9.17 より前、3.10.0 より前の 3.16.11、4.0.0 より前の 4.2.6、4.3.0 より前の 4.3.5、4.4.0 より前の 4.4.3、4.5.0 より前の 4.5.1 のすべての Jira Service Desk バージョンが影響を受けます。この課題は、こちら追跡できます: https://jira.atlassian.com/browse/JSDSERVER-6589

* 攻撃者は、Jira Service Management ポータルへのアクセス権を自分自身に付与し、Service Desk にメールを送信したり、設定が有効なポータルでリクエストを送信したりできます。このアクセス権限を変更しても、ポータルにアクセスできる攻撃者による悪用に対する脆弱性は削除されません。アトラシアンでは、許可を変更することをお勧めしません。代わりに、次のセクションに記載されている内容に目を通し、指示に従ってください。

謝辞

この脆弱性を発見した Raphaël Arrouas 氏に感謝いたします。

問題の軽減策

Jira Service Desk をすぐにアップグレードできない場合や、Jira Cloud へ移行中である場合は、次の一時的な回避策を使用できます。

この緩和策は、Jira Service Desk アップグレード後は削除できます。

修正

これらの課題に対処するため、Jira Service Desk Server および Jira Service Desk Data Center の以下のバージョンをリリースしました。

必要なアクション

Jira Service Desk をアップグレードする

最新バージョンにアップグレードすることをお勧めします。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンの説明全文については、「リリース ノート」を参照してください。Jira Service Desk Server および Jira Service Desk Data Center の最新バージョンは、ダウンロード センターからダウンロードできます。

以下のバージョンに Jira Service Desk をアップグレードしてください。

Jira Service Desk のアップグレードには、Jira Core のアップグレードも必要になります。互換性マトリクスで、お使いの Jira Service Desk バージョンに対応するバージョンをご確認ください。

お使いの Jira Service Desk バージョン...今回インストールするバグ修正バージョン
4.5.x4.5.1
4.4.x4.4.3

4.3.x

4.3.5

4.2.x

4.2.6

4.1.x4.5.1 (推奨)
4.0.x4.5.1 (推奨)

3.16.x

3.16.11

3.9.x

3.16.11

3.9.17

以前のバージョン (3.9.x より前)

現行バージョン:

4.4.1

4.3.4

エンタープライズ リリース

4.5.1 (推奨)

3.16.11

3.9.17


サポート

このアドバイザリのメールを受信していないため今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

参考

セキュリティ バグの修正ポリシー

Critical security bug fixes will be backported in accordance with https://www.atlassian.com/trust/security/bug-fix-policy.

セキュリティの問題の重大度レベルアトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。
サポート終了ポリシーサポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 
Last modified on Mar 3, 2021

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.