Crowd のセキュリティ勧告 (2022 年 11 月)
要約 | CVE-2022-43782 - セキュリティの設定ミスの重大な脆弱性 |
---|---|
勧告のリリース日 | 2022 年 11 月 16 日 午前 10 時 PDT (太平洋標準時、ー7 時間) |
製品 |
|
CVE ID | CVE-2022-43782 |
脆弱性の概要
この勧告は、Crowd のバージョン 3.0.0 で発生した 重大な深刻度のセキュリティの設定ミスについての脆弱性を開示します。3.0.0 以降にリリースされたすべてのバージョンが、次の両方の条件を満たす場合にのみ影響を受けます。
この脆弱性は影響を受けるバージョンの新規インストールでのみ懸念されます。以前のバージョンからアップグレード済みの場合 (例: バージョン 2.9.1 からバージョン 3.0.0 以降)、ご利用のインスタンスは影響を受けません。
新規インストールとは、ダウンロード ページからダウンロードしたバージョンと同じもので、ダウンロード以降アップグレードされていない Crowd インスタンスを指します。
リモート アドレス設定に crowd アプリケーション用の IP アドレスが追加されている (3.0.0 以降のバージョンでのデフォルトは none)。
この脆弱性により、許可リストの IP アドレスから接続する攻撃者は、パスワード チェックを迂回して crowd アプリケーションとしてアクセスすることができます。これにより、攻撃者は権限が要求される Crowd REST API のエンドポイント (usermanagement パス配下) を呼び出せるようになります。上記で説明しているように、これはリモート アドレス設定における crowd アプリケーションの許可リストで IP アドレスが指定されている場合にのみ悪用できます。この脆弱性を軽減するため、ご利用のインスタンスを以降に記載された "修正済みバージョン" のいずれかにアップグレードすることを推奨します。
この問題はこちらで追跡できます。
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
影響バージョン
3.0.0 以降にリリースされたすべての Crowd バージョンが影響を受けます。これは、次のいずれかのバージョンを実行しているすべての新規インストールを意味します。
Crowd 3.0.0 - Crowd 3.7.2
Crowd 4.0.0 - Crowd 4.4.3
Crowd 5.0.0 - Crowd 5.0.2
前述のとおり、新規インストールのみが脆弱性を持ちます。たとえば、バージョン 2.9.1 から 3.0.0 にアップグレード済みの場合、ご利用のインスタンスは影響を受けません。ただしこの場合、バージョン 2.9.1 にあったすべてのデフォルトのリモート アドレスが、バージョン 3.0.0 を実行しているインスタンスに持ち越されます。これは同様に、crowd アプリケーション用のリモート アドレス設定から削除できます。
ユーザー管理のために組み込みの Crowd を利用する他のアトラシアンの Data Center および Server 製品は影響を受けません。
修正済みバージョン
この脆弱性の修正を含むリリースの一覧については次の表をご確認ください。
Crowd プラットフォーム リリース | バグ修正リリース |
---|---|
5.0.3 以降 | |
4.4.4 以降 | |
このバージョンは廃止予定であるため、修正は提供されていません。Crowd 4.4.4 または 5.0.3 にアップグレードしてください。 |
必要なアクション
アトラシアンでは、ご利用のインスタンスを上記の「修正済みバージョン」に記載されたいずれかのバージョンにアップグレードすることを推奨しています。Crowd の最新バージョンの完全な説明については、リリース ノートをご確認ください。Crowd の最新バージョンはダウンロード センターからダウンロードできます。よくある質問 (FAQ) についてはこちらをクリックしてください。
ご利用のインスタンスの侵害有無を確認する方法
ご利用のインスタンスが侵害されたかどうかは、次のリソースを利用して確認できます。
アクセス ログ
Crowd ではデフォルトでアクセス ログは提供されません。この情報は、脆弱性の悪用が発生する前にアクセス ログを構成済みであった場合にのみ有益なものになります。アクセス ログを構成済みの場合、Crowd に接続されている製品以外から発生しているusermanagement パスへの呼び出しを絞り込むことができます。アクセス ログの詳細については「Access logging for Crowd」をご確認ください。
監査ログ (Data Center のみ)
さらに、Crowd の監査ログで、crowd によって行われたアクションを検索できます。監査ログの詳細については「Browsing the audit log」をご確認ください。
問題の軽減策
この脆弱性を軽減するには、影響を受ける個々の製品インストールを上記の "修正済みバージョン" に記載された修正済みバージョンにアップグレードします。Crowd をいますぐアップグレードできない場合は次のような一時的な修正を利用できます。
リモート アドレスの削除
Crowd 製品で crowd アプリケーション 用のリモート アドレスを確認または削除することで、この問題を一時的に軽減できます。
リモート アドレスを削除するには、次の手順を利用します。
Crowd の管理コンソールにログインします。
上部のナビゲーション バーで [Applications] をクリックします。
Application Browser で crowd アプリケーションを選択します。
[View Application] 画面で [Remote Addresses] タブをクリックします。
任意のリモート アドレスを削除します。
リモート アドレスが表示される場合は次の情報をご確認ください。
Crowd 3.0.0 以降の新規インストールでは、デフォルトでリモートアドレスはありません。
3.0.0より前のバージョン、あるいはそのバージョンからアップグレードされたインスタンスの場合、複数のアドレスがデフォルトで入力されていることがあります。これらのリモート アドレスはバージョン 3.0.0 以降では利用されないため、推奨プラクティスとして削除できます。ただしこれは脆弱性の軽減には影響しません。
パスワードの変更
さらに、crowd アプリケーションのパスワードを強力なものに変更できます。これはリモート アドレスを削除できない場合は特に重要です。
パスワードを変更するには、次の手順に従います。
Crowd の管理コンソールにログインします。
上部のナビゲーション バーで [Applications] をクリックします。
Application Browser で crowd アプリケーションを選択します。
[Details] タブで [Change password] を選択します。
謝辞
この脆弱性は、Ashish Kothaによる内部セキュリティレビュー中に見つかりました。
サポート
この勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email でアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
当社のバグ修正ポリシーやセキュリティ問題の詳細については次のページをご確認ください。
当社の新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |