CVE-2019-13990 の FAQ
全般的な情報
A critical severity XML External Entity Injection (XXE) vulnerability was discovered in Jira Service Management Server and Data Center (CVE-2019-13990).
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを更新します。
Can any authenticated user exploit this vulnerability?
No, the vulnerable library is only used for the Assets automation rules feature which is only available to Assets schema admins defined by the following roles:
- オブジェクト スキーマ マネージャー
- アセット管理者
If a user is not configured as an Assets schema admin they won't have access to the impacted feature. In addition, Jira Service Management authenticated customers cannot exploit the vulnerability even with the Object Schema Users permissions for Jira Service Management Customers being enabled since they cannot access automation rules; they can only view and search objects through the customers portal.
クラウド インスタンスは影響を受けますか?
No, Atlassian Cloud instances are not vulnerable to this issue.
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
Yes! While ensuring instances are not exposed to the public internet greatly reduces the attack surface, we strongly recommend upgrading when security fixes are available.
当社のインスタンスはインターネットに接続されていません。安全でしょうか?
If the Jira instance cannot be accessed from the general internet, the risk of an exploit/attack originating from there is negated.
Due to the nature of this vulnerability and the variety of ways in which instances can be accessed, please work with local network/security team(s) to determine if mitigation is needed. However, out of an abundance of caution, the guidance on the advisory page for CVE-2019-13990 still applies.
Jira Service Management がすでに攻撃を受けているかどうかを確認することはできますか?
Unfortunately, Atlassian cannot confirm if Jira has been compromised. Please involve the local security team or a specialist security forensics firm for further investigation.
私のインスタンスが攻撃されていました。どうすればよいですか?
Unfortunately, Atlassian cannot confirm if a customer's instance has been compromised. We strongly recommend involving your local security team for further investigation. If it is determined that your Jira Service Management Server/DC instance has been compromised, our advice is to immediately shut down and disconnect the server from the network/Internet. Also, you may want to immediately shut down any other systems that potentially share a user base or have common username/password combinations with the compromised system. Before doing anything else you will need to work with your local security team to identify the scope of the breach and your recovery options.
ソフトウェア メンテナンスが失効している場合、パッチ/アップグレードをインストールするために更新する必要がありますか?
はい、アップグレードを行う際は、そのバージョンのリリース時点でアクティブであったライセンスが必要です (ライセンスが 25 日に失効している場合、26 日にリリースされたバージョンへのアップグレードは不可能)。ライセンスが有効でない場合、アップグレードが製品でブロックされます。
この脆弱性のことを知りませんでした。アトラシアンはいつどのようにこの情報を共有したのでしょうか
An alert was sent out to all customers subscribed to the product technical alerts list, after we developed a fix. You can check your membership on that list by going to https://my.atlassian.com/email.