CVE-2022-0540 の FAQ

アトラシアン ナレッジベース

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

全般的な情報

Jira の web 認証フレームワークである Jira Seraph におけるクリティカルな脆弱性 (CVE-2022-0540) が確認されました。詳細については「Jira Server および Data Center - Seraph での認証バイパス - CVE-2022-0540」をご確認ください。

このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。

クラウド インスタンスは影響を受けますか?

いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず、お客様による対応は不要です。 

私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?

はい。インスタンスをインターネットに公開しないことは攻撃対象を大きく狭めますが、セキュリティ修正が利用可能であるときはアップグレードすることを常に推奨しています。当社では、お客様が範囲 (影響を受ける製品や、この場合は影響を受けるアプリ) と影響を判断できるよう、可能な限り多くの情報を提供することを心がけています。インスタンスへの外部アクセスの有無などの脆弱性を軽減する要素が、アップグレードのインストールを見送れるほどビジネスへのリスクを軽減しているかどうかの判断は、最終的にはお客様がこれらの情報に基づいて行う必要があります。

影響を受けているアトラシアン アプリとそれらがバンドルされているバージョンを教えてください。

バンドルされる 2 つのアトラシアン アプリが影響を受けます。

  • Insight - Asset Management: Jira Service Management Server および Data Center 4.15.0 以降にバンドル
  • Mobile Plugin for Jira: Jira Server、Jira Software Server および Data Center 8.0.0 以降、Jira Service Management Server および Data Center 4.0.0 以降にバンドル

スタンドアロンの 1 つのアトラシアン アプリが影響を受けます。

  • Insight - Asset Management (Server、Data Center) バージョン < 8.10.0。Atlassian Marketplace で提供

各アプリの安全性を確保するために利用できる方法を教えてください。

Jira または Jira Service Management の修正済みバージョンのインストール

CVE-2022-0540 を修復するもっとも確実な方法はセキュリティ勧告に記載された修正済みバージョンをインストールすることです。修正済みバージョンがインストールされたら、ご利用の Jira または JSM インスタンス内のすべてのアプリが CVE-2022-0540 から保護され、以降の対応は不要になります。

修正済みバージョンに即座に更新できない場合

バンドルされたアプリ

Mobile Plugin for Jira - プラグインを Marketplace から更新します

Insight - Asset Management - アプリを無効化します (*)

このオプションは、アプリを保持するリスクが、アプリを無効化することで機能が失われるデメリットよりも大きいと判断したときに検討します。

  • Insight - Asset Management は次のバージョンの Jira Service Management Server および Data Center で無効化できます
    • バージョン < 4.19.0
    • バージョン >= 4.20.3

*Jira Service Management バージョン 4.19-4.20.2 には依存関係が存在し、Insight - Asset Management アプリが無効化されると Jira Service Management も無効化されます。

スタンドアロン アプリ

Insight - Asset Management: アプリをアップグレードするか、アプリを保持するリスクがアプリを無効化することで機能が失われるデメリットよりも大きいと判断したときは無効化します。

  • バージョン 8.x >= 8.10.0 は CVE-2022-0540 の影響を受けません
  • バージョン 8.x は、4.15.0 よりも前の JSM バージョンで UPM 経由でのみインストールできる点にご注意ください。 

Atlassian Marketplace に登録されていない独自のインハウス アプリがあります。アプリの更新方法を教えてください。

roles-required 属性を含むすべての <webwork1> が、すべての子 <action> 要素で同じ roles-required 属性を含む必要があります。

以降の例をご確認ください。

CVE-2022-0540 の脆弱性を持つ例 (roles-required を <webwork1> レベルで指定しているが <action> レベルでは指定していない)

<webwork1 key="foo_key" name="Foo" class="java.lang.Object" roles-required="admin">
     <actions>
          <action name="com.example.jira.plugin.foo" alias="FooShowIndex">
               <view name="error">/templates/common/error.vm</view>
               <view name="success">/templates/pluginadmin/index_show.vm</view>
          </action>
     </actions>
</webwork1>


CVE-2022-0540 の脆弱性を持たない更新済みの構成 (roles-required<action> レベルで指定)

<webwork1 key="foo_key" name="Foo" class="java.lang.Object">
     <actions>
          <action name="com.example.jira.plugin.foo" alias="FooShowIndex" roles-required="admin">
               <view name="error">/templates/common/error.vm</view>
               <view name="success">/templates/pluginadmin/index_show.vm</view>
          </action>
     </actions>
</webwork1>

CVE-2022-0540 の脆弱性を持たない別の構成 (<webwork1><action> レベルの両方で roles-required を指定)

<webwork1 key="foo_key" name="Foo" class="java.lang.Object" roles-required="admin">
     <actions>
          <action name="com.example.jira.plugin.foo" alias="FooShowIndex" roles-required="admin">
               <view name="error">/templates/common/error.vm</view>
               <view name="success">/templates/pluginadmin/index_show.vm</view>
          </action>
     </actions>
</webwork1>

特定のアプリの脆弱性を確認するにはどうすればよいですか? アプリを利用するリスクとアプリを利用するメリットをどのように判断すればよいですか?

セキュリティ勧告では、リスクを判断するために影響を理解するにはアプリ ベンダーに直接問い合わせることを推奨しています。 

当社のバンドル アプリについては、セキュリティ勧告の「影響を受けるアプリの判断」セクションの「CVE-2022-0540 の影響を受ける構成を持つ Atlassian Marketplace アプリ」展開の備考列にこの情報を含めています。

Mobile Plugin for Jira

影響を受けるすべてのアクションで CVE-2022-0540 の脆弱性を持たない追加の権限チェックが要求されるため、アトラシアンはセキュリティ リスクは無視可能なものであると判断しました。

Insight - Asset Management

攻撃者がこの脆弱性を利用して任意のコードを実行できます。これを行うには攻撃者が次の条件を満たす必要があります。

アプリ開発者は Jira 内の脆弱性を修正するためのコード更新をどのように知ることができたのですか?

この脆弱性の性質である、脆弱性を持つのは Jira だが開示されるのはアプリであること、および、Jira のアップグレードには時間がかかる場合があることを考慮し、Marketplace パートナーとの関係性を活用しました。共有のゴールを設け、影響を受けるパートナーにコードの更新を依頼し、このクリティカルな勧告の影響を最小限に留めることを目指しました。これは、アプリのほうがアップグレードが簡単に行えるためです。 

Insight がアプリであるにもかかわらずバンドル バージョンをアップグレードできないのはなぜですか?

Insight のバンドル バージョンは現在 Jira Service Management のコア機能として統合されています。このため、アプリとして提供が開始されましたが (また、Jira Software 内では引き続きスタンドアロン アプリですが)、これは製品内に深く埋め込まれています。 

製品に修正が組み込まれているのであればなぜ脆弱性がもっと早く開示されなかったのですか?

This vulnerability is unique in that the vulnerability is in Jira code but the code paths that are potentially exposed are in apps. It took some time for us to scan our own code and to also scan the code of Marketplace apps. Once the scanning was complete we needed to give Marketplace partners a window of time to update their code to help mitigate the impact to customers.

We use HTTPS/SSL, are we still vulnerable?

Yes. HTTPS is HTTP with encryption (SSL/TLS) which helps secure content traveling between two points. Whether or not encryption is used doesn’t have any effect on how the vulnerability can be exploited.

最終更新日 2022 年 4 月 25 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.