Bamboo Security Advisory 2021-04-07

要約

CVE-2020-27955 & CVE-2021-21237 - Remote Code Injection using Git LFS

勧告のリリース日

Apr 7, 2021 10:00 AM PDT (Pacific Time, -7 hours)

製品

Bamboo elastic agent AMI for Windows

影響を受けるバージョン

7.2.2 以前

修正済みバージョン

7.2.3 以降

CVE ID

CVE-2020-27955

CVE-2021-21237


脆弱性の概要

This advisory discloses a critical severity security vulnerability which was introduced through the git-lfs library and discovered in Stock Elastic Windows Images shipped with version 7.2.2 of Bamboo for Windows. Both CVE-2020-27955 & CVE-2021-21237 refer to the same underlying vulnerability, Remote Code Injection using Git LFS. Bamboo Stock Elastic Windows Images shipped with versions of Bamboo for Windows before 7.2.3 (the fixed version for CVE-2020-27955 & CVE-2021-21237) are affected by this vulnerability.

Customers using the Bamboo Windows elastic agent AMI on version 7.2.3 are not affected.

Customers using Bamboo for any non-Windows OS are not affected.

Customers using the Bamboo Windows elastic agent AMI on version 7.2.2 or earlier

Please upgrade your installations immediately to fix this vulnerability.

  Customers using Bamboo for Windows

Ensure that git-lfs is updated to avoid being vulnerable. Refer to the advisories from Git, linked in “Vulnerability References”.

Remote Code Injection using Git LFS - CVE-2020-27955 & CVE-2021-21237

深刻度

Atlassian rates the severity level of this vulnerability as critical, according to the scale published in our Atlassian severity levels. The scale allows us to rank the severity as critical, high, moderate or low.

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。



説明

The vulnerability occurs if git-lfs operates on a malicious repository with a git.bat or git.exe file in the current directory, allowing an attacker to execute arbitrary code.

  1. run Git LFS on a on a malicious repository with a git.bat or git.exe file in the current directory

All versions of Bamboo for Windows up to and including 7.2.2 are affected by this vulnerability. This issue can be tracked here:

BAM-21267 - Getting issue details... STATUS

BAM-21284 - Getting issue details... STATUS


Vulnerability References



修正

弊社ではこの問題に対応するために次の対応を行いました。

  1. Released Bamboo for Windows version 7.2.3 that contains a fix for this issue.

必要なアクション

Atlassian recommends that you upgrade to the latest version. For a full description of the latest version of Bamboo for Windows, see the release note You can download the latest version of Bamboo for Windows from the download centre.

Upgrade Bamboo for Windows to version 7.2.3 or higher and update git-lfs on Windows

Customers using Bamboo for Windows need to update git-lfs on Windows to the latest version

Customers using Bamboo elastic agent AMI: Upgrade Bamboo for Windows to version 7.2.3


問題の軽減策

Update git and git-lfs on your system to the latest versions and use them in your existing Bamboo instance.


サポート

If you did not receive an email for this advisory and you wish to receive such emails in the future go to https://my.atlassian.com/email and subscribe to Alerts emails.

このアドバイザリに関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。

参考

セキュリティ バグの修正ポリシー

アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベル

アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。

サポート終了ポリシー

 サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 

最終更新日 2021 年 7 月 14 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.