Security Addendum 2010-04-16 - Preventing security attacks
In April 2010, JIRA sites were attacked via security vulnerabilities in JIRA. These vulnerabilities will be fixed in JIRA 4.1.1, and patches are available for earlier versions of JIRA.
詳細情報:
- about these vulnerabilities and patching your JIRA instance, see JIRA Security Advisory 2010-04-16
- on how to determine whether your public JIRA instance has been compromised please refer to the detection guide.
Note: If you are an Atlassian JIRA Studio or Hosted customer, we have assessed that your system is secure and implemented additional protections for it.
To the best of our knowledge, the following guidelines will help prevent attacks of the kind recently experienced.
1. Use Strong Passwords
1.1 Administrators should use Strong Passwords
All your JIRA administrators, JIRA system administrators and administrators of all Atlassian products should have strong passwords. Ask your administrators to update their passwords to strong passwords.
辞書に載っている単語をパスワードに使わないでください。管理者パスワードには大文字小文字や、数字、記号が入り混じった文字列を使用し、十分な長さ (例.14文字) であることを確認してください。選択したパスワードの指標として、Strong Password Generatorを参照することをお勧めします。
強固なパスワードを使用すると、攻撃者がブルート フォース攻撃によってパスワードを取得するのに必要な時間を格段に増加させ、同様の攻撃を非現実的なものとします。
1.2 Administrators should have Different Passwords for Different Systems
As well as choosing a strong password, administrators should have different strong passwords for different systems.
This will reduce the impact the attacker can have if they do manage to obtain administrator credentials on one of your systems.
2. Apply JIRA Security Patches
Apply the patches found in JIRA Security Advisory 2010-04-16 for your version of JIRA.
These patches protect JIRA from recently detected privilege escalation and XSS vulnerabilities.
3. Protect Against Brute Force Attack
ログインを何度も繰り返し試行する、ブルート フォース攻撃として知られるログイン攻撃からシステムを積極的に守ることもできます。
3.1 Upgrade to JIRA 4.1
JIRA 4.1 contains built-in protection for brute force attacks by displaying a CAPTCHA after a number of failed authentication attempts.
In JIRA 4.1.1 this option is enabled by default. (Please refer to the JIRA 4.1.1 Upgrade Guide for details.) To enable this protection in JIRA 4.1, log in as an administrator and navigate to Administration -> General Configuration and set the "Maximum Authentication Attempts Allowed" to a small number (e.g. 5).
For more details, see Configuring JIRA Options.
3.2 Enable Brute Force Login Protection on your Web Server
アプリケーション ログから繰り返し認証に失敗しているログを見つけることで、web サーバーでブルート フォース ログイン保護を有効にすることができます。繰り返しログインに失敗しているログを見つけたら、その特定の IP アドレスから web サーバーへのアクセスを自動的に禁止するようシステムをセットアップすることができます。
この種のログイン防止の自動的方法を設定する方法について詳細を知りたい場合は、「Fail2Ban を使用してログイン試行を制限する」 を参照してください。
4. Restrict Network Access to Administrative Sections of Applications
アトラシアン アプリケーションの管理インターフェイスは、同アプリケーションの重要な部分を占めています。これに対するアクセスを有する者であれば誰でも、アプリケーション インスタンスのみならずマシン全体を危険にさらしてしまう可能性があります。本当に必要とするユーザだけにアクセスを制限し、強力なパスワードを使用する以外 にも、ネットワークあるいはインターネット上の一部のマシンにアクセスを制限する事を検討する必要があります。
管理/重要操作へのアクセスを制限するため Apache のブロック ルールを実装する方法については以下を参照してください。
- JIRA, refer to Using Apache to Limit Access to the JIRA Administration Interface
- Confluence: 「Apache を使用して Confluence 管理インターフェースへのアクセスを制限する」
同様な手法を使用してすべてのアトラシアン アプリケーションを保護することができます。
5. Restrict File System Access by the Application Server
アプリケーション サーバー (例:Tomcat) はシステム上で1つのプロセスとして動作します。このプロセスは特定のユーザーによって起動され、そのユーザーのファイルシステム権限を継承します。アプリケーション サーバー ユーザーが書き込み可能なディレクトリを制限することで、アプリケーションにファイルシステムを不必要に晒すことを制限できます。
JIRA のアプリケーション サーバーが 以下のディレクトリのみへの書き込み権限を持つことを確認してください。
- The following subdirectories of your JIRA Installation Directory for 'recommended' JIRA distributions (or for JIRA WAR distributions, the installation directory of the Apache Tomcat application running JIRA):
logstempwork
- Your JIRA Home Directory.
For detailed instructions, please see Tomcat security best practices.
6. Disable Jelly
Jelly is disabled in JIRA by default. If you need to use Jelly, you should enable it immediately prior to use and disable it immediately afterwards. See the JIRA Jelly Tags documentation for details.