CVE-2022-1471 の FAQ
全般的な情報
複数の Atlassian 製品で使用されている Java 用 SnakeYAML ライブラリに、クリティカルなリモートコード実行 (RCE) 脆弱性が発見されました (CVE-2022-1471)。
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。
クラウド インスタンスは影響を受けますか?
Atlassian Cloud サイトはこの脆弱性の影響を受けません。ご利用のサイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
はい。インスタンスをインターネットに公開しないことは攻撃対象を大きく狭めますが、セキュリティ修正が利用可能であるときはアップグレードすることを常に推奨しています。当社では、お客様が範囲と影響を判断できるよう、可能な限り多くの情報を提供することを心がけています。インスタンスへの外部アクセスの有無などの脆弱性を軽減する要素が、アップグレードのインストールを見送れるほどビジネスへのリスクを軽減しているかどうかの判断は、最終的にはお客様がこれらの情報に基づいて行う必要があります。
アトラシアンはメールの送信先をどのように判断したのですか?
デフォルトでは、セキュリティ脆弱性や他の技術的なアラート (価格の変更、メンテナンス通知など) に関連するメールは常にプライマリの技術担当者に送られます。
他の連絡先は、my.atlassian.com にアクセスしてこれらの通知を有効にできます。 上部の [メール設定] をクリックし、[テクニカル アラート] までスクロールして、通知したい製品を選択します。
この脆弱性のことを知りませんでした。アトラシアンはいつどのようにこの情報を共有したのでしょうか
当社で修正のリリース後、製品の技術アラートのリストにサブスクライブしているすべてのお客様にアラートを送信しています。このリストへの参加状況は https://my.atlassian.com/email で確認できます。
最近セキュリティ勧告が多いのはなぜですか?
お客様のセキュリティは私たちの最優先事項です。データを保護するには、積極的に行動することが最善の方法だと考えています。これらの脆弱性は、継続的なセキュリティ評価に加えて現在実施しているセキュリティ レビューの一環で見つかりました (詳細 - https://www.atlassian.com/trust/security/security-testing)。
今後の更新については、引き続きクリティカルなセキュリティ勧告に従ってください。ご質問がある場合は、このメールに返信するか、support.atlassian.com からサポート リクエストを送ってください。
社内にセキュリティ チームがない場合はどうしたら良いですか?
専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。
Confluence
Confluence インスタンスは、主に 2 つの要因によってこの脆弱性影響を受ける可能性があります。
インスタンスが影響を受けるバージョンで実行されている場合、または、
インスタンスに、影響を受けるバージョン(Confluenceにバンドルされている)の Confluence Cloud Migration Assistance (CCMA) アプリがある場合
CCMA アプリの初期バージョンには、脆弱な SnakeYAML ライブラリが含まれています。
Confluence インスタンスが影響の無いバージョンを実行していても、影響を受ける初期バージョンの CCMA アプリを実行している場合、インスタンスは依然として脆弱であることに注意してください。
Confluence のどのバージョンが影響があり、どのバージョンが修正されていますか?
影響する Confluence バージョン
Confluence Server および Data Center
LTS (長期サポート) バージョン:
7.19.9 以下
7.13.17 以下
LTS 以外のバージョン:
8.3.0
8.2.X (すべてのマイナー バージョン)
8.1.X (すべてのマイナー バージョン)
8.0.X (すべてのマイナー バージョン)
7.20.X (すべてのマイナー バージョン)
7.18.X (すべてのマイナー バージョン)
この製品のこれ以前のバージョン
修正された Confluence バージョン
LTS (長期サポート) バージョン:
8.5.0 以上
7.19.10 以上
7.13.18 以上 (サポート終了の LTS バージョン)
LTS 以外のバージョン:
8.7.0 以上
8.6.0 以上
8.4.0 以上
8.3.1 以上
影響を受ける Confluence Cloud Migration Assistance (CCMA) アプリのバージョン
3.4.0 より前のプラグイン バージョン
修正済みの Confluence Cloud Migration Assistant (CCMA) アプリ バージョン
3.4.0 以上のプラグイン バージョン
影響を受ける構成の例
Confluence 8.0.3 (影響あり) CCMA バージョン 3.4.5(影響なし) = 影響あり
Confluence 7.19.12 (影響なし) CCMA バージョン 3.3.13 (影響あり) = 影響あり
Confluence 7.17.5 (影響あり) CCMA バージョン 3.4.0(影響なし) = 影響あり
Confluence 7.16.5(影響あり) CCMA バージョン 3. 3.11 (影響あり) = 影響あり
どうずればこの脆弱性の Confluence への影響を軽減できますか?
このセキュリティ脆弱性は、修正を含むバージョンの Confluence および CCMA アプリにインスタンスにパッチを当てる以外の方法で軽減することはできません。
詳細な手順は、「Confluence のアップグレード」(または「Confluence 手動アップグレード」) を参照してください。参考までに、Confluence の修正バージョンには、この CVE に対応している CCMA アプリの修正バージョンがすでにバンドルされています。
Atlassian Cloud 移行チームから、アクティブ/進行中の移行において旧バージョンの CCMA アプリを使用するようアドバイスを受けた場合にはお知らせください。それに応じてサポートさせていただきます。
アップグレード中またはアップグレード後に問題が発生した場合は、サポート チケットを起票してください。迅速に問題を解決するお手伝いをします。
Jira / Jira Software / Jira Service Management / Automation for Jira アプリ
どのバージョンの Jira が影響を受けますか?
この脆弱性は、Jira Core / Jira Software 9+ および Jira Service Management 5+ にもバンドルされている Automation for Jira アプリ (Server Lite エディションを含む) のすべてのバージョンで使用されるライブラリに存在します。
影響を受けるバージョンの最新のリストについては、セキュリティ勧告を参照してください。
影響を受けるバージョン:
Jira Core/Jira Software
LTS (長期サポート) バージョン:
9.4.0 <= 9.4.12
LTS 以外のバージョン:
9.0.X
9.1.X
9.2.X
9.3.X
9.5.x
9.6.x
9.7.x
9.8.x
9.9.x
9.10.x
9.11.0
9.11.1
Jira Service Mangement
LTS (長期サポート) バージョン:
5.4.0 <= 5.4.12
LTS 以外のバージョン:
5.0.X
5.1.X
5.2.X
5.3.X
5.5.x
5.6.x
5.7.x
5.8.x
5.9.x
5.10.x
5.11.0
5.11.1
Automation for Jira アプリ (Jira < 9.0 または Jira Service Management < 5.0 にインストールされている場合)
<= 8.2.2
9.0.0
9.0.1
アトラシアンは、以下のバージョンの Jira に更新するか、Universal Plugin Manager (UPM) を使用して Automation for Jira アプリだけをアップグレードすることを強くお勧めします。
詳細は、A4J 9.0+ の重大な変更 を参照してください。このバージョンは Jira 9.11+ および JSM 5.11+ にもバンドルされていました。
Jira のアップグレード
LTS (長期サポート) バージョン:
Jira Core/Software 9.4.14/JSM 5.4.14 以上
Jira Core/Software 9.12.0/JSM 5.12.0 以上
LTS (長期サポート) 以外のバージョン:
Jira Core/Software 9.11.2/ JSM 5.11.2 以上
または
Automation for Jira のアップグレード
8.2.4
9.0.2 以降
Automation for Jira (A4J) アプリのどのバージョンが影響を受けますか? また、どのバージョンに修正が含まれていますか?
以下のバージョンの Automation for Jira (A4J) (Server Lite エディションを含む) が影響を受けます。
8.2.2 以下のすべてのバージョン
9.0.0
9.0.1
以下のバージョンの Automation for Jira (A4J) にこの脆弱性の修正が含まれます。
8.2.4
9.0.2 以降
A4J 8.x から 9.0.x にアップグレードする場合、A4J 9.0+ の重大な変更点を十分に確認してください。既存のルールに影響する可能性があります。本番環境を更新する前に、テスト環境でこれらの変更を確認することをお勧めします。
Jira / JSW / JSM インスタンスをアップグレードする以外に、この脆弱性を緩和する方法はありますか?
セキュリティ勧告に記載されている通り、製品インスタンスを修正バージョンにアップグレードできない場合は、Universal Plugin Manager (UPM) を介して、Automation for Jira (A4J) アプリを修正バージョンにアップグレードすることで、この脆弱性を軽減することができます。
次のバージョンの Automation for Jira (A4J) には修正が含まれています。
8.2.4
9.0.2 以降
A4J 8.x から 9.0.x にアップグレードする場合、A4J 9.0+ の重大な変更点を十分に確認してください。既存のルールに影響する可能性があります。本番環境でアプリを更新する前に、テスト環境でこれらの変更を確認することをお勧めします。
Jira をアップグレードせずに Automation for Jira をアップグレードすることによる影響はありますか?
いいえ、Jira をアップグレードせず Automation for Jira (A4 J) をアップグレードすることは、この脆弱性に対する有効な軽減戦略です。ただし、A4J バージョン 9.0+ には、設定されたルールの URL に関連する重大な変更が含まれていることに注意してください。そのため、既存のルールに影響を与える可能性のある主要な変更を確認してください。本番環境でアプリを更新する前に、テスト環境でこれらの変更を確認することをお勧めします。
これらの変更は、このバージョンの A4J のバンドルが始まった Jira バージョンのリリース ノートに記載されています。
SnakeYAMLライブラリのみを更新して、同じバージョンの Jira を使い続けることはできますか?
残念ながら、対象の Jira インスタンス上の SnakeYAML ライブラリをアップグレードするだけでは、脆弱性を軽減することはできません。
アトラシアンは、以下のバージョンの Jira に更新するか、Universal Plugin Manager (UPM) を使用して Automation for Jira アプリだけをアップグレードすることを強くお勧めします。
詳細は、A4J 9.0+ の重大な変更 を参照してください。このバージョンは Jira 9.11+ および JSM 5.11+ にもバンドルされていました。
Jira のアップグレード
LTS (長期サポート) 以外のバージョン:
Jira Core/Software 9.11.2/ JSM 5.11.2 以上
LTS (長期サポート) バージョン:
Jira Core/Software 9.12.0/JSM 5.12.0 以上
Jira Core/Software 9.4.14/JSM 5.4.14 以上
または
Automation for Jira のアップグレード
8.2.4
9.0.2 以降
サポートされている 8.20 LTS バージョンの Jira を使用しています。影響を受けますか?
8.20.X LTS バージョンの Jira は影響を受けません。A4J が 9+ まではバンドルされていなかったためです。ただし、A4J を個別にインストールした場合は、脆弱なバージョンを使用している可能性があります。
次のバージョンの Automation for Jira (A4J) が影響を受けます。
8.2.2 以下のすべてのバージョン
9.0.0
9.0.1
これらのバージョンのいずれかがインストールされている場合、アトラシアンは、Universal Plugin Manager (UPM) を介して以下のバージョンの Automation for Jira (A4J) のいずれかにアップグレードすることを強くお勧めします。これらにはこの脆弱性に対する修正が含まれています。
8.2.4
9.0.2 以降
A4J 8.x から 9.0.x にアップグレードする場合、A4J 9.0+ の重大な変更点を十分に確認してください。既存のルールに影響する可能性があります。本番環境でアプリを更新する前に、テスト環境でこれらの変更を確認することをお勧めします。
Jira には CVE-2022-1471 の脆弱性がありますか?JSM には CVE-2022-1471 の脆弱性がありますか?
この脆弱性は、Jira Core / Jira Software 9+ および Jira Service Management 5+ にもバンドルされている Automation for Jira アプリ (Server Lite エディションを含む) のすべてのバージョンで使用されるライブラリに存在します。
アトラシアンは、以下のバージョンの Jira に更新するか、Universal Plugin Manager (UPM) を使用して Automation for Jira アプリをアップグレードすることを強くお勧めします。
詳細は、A4J 9.0+ の重大な変更を参照してください。このバージョンは Jira 9.11+ および JSM 5.11+ にもバンドルされていました。
Jira のアップグレード
LTS (長期サポート) 以外のバージョン:
Jira Core/Software 9.11.2/ JSM 5.11.2 以上
LTS (長期サポート) バージョン:
Jira Core/Software 9.12.0/JSM 5.12.0 以上
Jira Core/Software 9.4.14/JSM 5.4.14 以上
または
Automation for Jira のアップグレード
9.0.2 以降
8.2.4
Jira Server 9.x を実行していますが、Automation for Jira や Automation for Jira - Server Lite は使用していません。脆弱性の影響を受けますか?
Automation for Jira (A4J) アプリのライセンスを取得していない場合、または Automation for Jira - Server Lite を持っている場合でも、インストールされ、影響を受けるバージョンの Jira を使用している場合、Jira サーバーはまだ脆弱である可能性があります。アプリのライセンス状態によって脆弱性が変わることはありません。重要なのはアプリの有無とアプリのバージョンです。
このリスクを軽減するには、以下を実施してください。
1. Jira Server インスタンスを修正されたバージョンのいずれかにアップグレードする
LTS (長期サポート) 以外のバージョン:
9.11.2 以降
LTS (長期サポート) バージョン:
9.12.0 以降
9.4.14 以降
2.または、Universal Plugin Manager (UPM) を使用してAutomation for Jira アプリを修正版にアップグレードしてください。
9.0.2 以降
8.2.4
Jira Service Management のみをインストールしていて、Jira Software はインストールしていません。この CVE の影響を受けますか?
はい、お使いの Jira Service Management のインストールは、この脆弱性影響を受ける可能性があります。影響を受ける Jira Service Management Data Center および Server は、バージョン 5.4.0 から 5.11.1 までです。
お使いの Jira Service Management のバージョンがこの範囲内にある場合は、次の対応を実施することをお勧めします。
1. 次の修正バージョンへのいずれかにパッチ:
LTS (長期サポート) 以外のバージョン:
Jira Core 9.11.2/JSM 5.11.2 以上
LTS (長期サポート) バージョン:
Jira Core 9.12.0/JSM 5.12 以上
Jira Core 9.4.14/JSM 5.4.14 以上
2.または、Universal Plugin Manager (UPM) を使用して自動化 for Jira アプリを修正版にアップグレードしてください。
9.0.2 以降
8.2.4
Automation for Jira アプリ(A4J) を無効にすることで脆弱性を軽減できますか?
いいえ、アプリを無効にしても、脆弱性は軽減されません。この脆弱性は、無効にしても、Server Lite エディションを含む、システム内に存在する A4J 内に存在します。
アトラシアンは、この脆弱性リスクを軽減するために、次のいずれかの対策を推奨しています。
Jira インスタンスを、修正されたバージョンのいずれかにアップグレードする
LTS (長期サポート) 以外のバージョン:
9.11.2 以降
LTS (長期サポート) バージョン:
9.12.0 以降
9.4.14 以降
Universal Plugin Manager (UPM) を使用して自動化 for Jira アプリを修正版にアップグレードします。
9.0.2 以降
8.2.4
サポートされていないバージョンを使用しており、アップグレードする予定はありません。どうすればいいですか?
直面している脆弱性に対処する最も効果的な方法は、Jira インスタンスをサポートされているバージョンにアップグレードすることです。これにより、必要な A4J アップデートをインストールでき、また、安全なシステムを維持するために不可欠なセキュリティ パッチやアップデートを将来確実に受け取ることができます。
Jira をすぐにアップグレードできない場合は、軽減策として、ネットワーク レベルで追加のセキュリティ対策を実施することを検討してください。これには、Jira インスタンスへのアクセスを信頼できるネットワークとユーザーに制限することが含まれ、悪用のリスクを軽減するのに役立ちます。
ただし、これらの措置は一時的なものであり、完全な解決策ではないことに注意してください。脆弱性を完全に軽減するには、サポートされているバージョンの Jira にアップグレードする必要があります。
Automation for Jira (A4J) アプリをアンインストールすることで脆弱性を軽減できますか?
Server Lite エディションを含む A4J アプリには、この脆弱性が含まれます。アンインストールすると、脆弱なライブラリが消去される可能性があります。ただし、A4J はコア プラグインのため、削除するとシステムが中断する可能性があります。そのため、解決策としてアンインストールすることはお勧めしません。
また、プラグイン アーティファクトからファイルを削除すると、システム設定がサポートされなくなる可能性があります。このアクションによって問題が発生した場合は、弊社がサポートできるように、以前の運用状態に戻す必要があります。
代わりに、アトラシアンは次の解決策を強く提案しています。
Jira インスタンスを、修正されたバージョンのいずれかにアップグレードする
LTS (長期サポート) 以外のバージョン:
9.11.2 以降
LTS (長期サポート) バージョン:
9.12.0 以降
9.4.14 以降
Universal Plugin Manager (UPM) を介して A4J アプリを修正版にアップグレードする
9.0.2 以降
8.2.4
Bamboo
Bamboo は、SnakeYAMLライブラリに影響する CVE-2022-1471 の脆弱性はありません。Bamboo の SnakeYAMLの実装では、Bamboo Specs クラスのみ許可しています。
If you are looking to satisfy security scanner requirements, Bamboo has a fixed version of the SnakeYAML library available in:
- 9.2.8 以降
9.3.5 以降
9.4.1 以降
アップグレードの詳細は、以下の Bamboo アップグレード ガイドを参照してください。
Bitbucket
どのバージョンの Bitbucket が影響を受けますか?
すべての 7.17.x バージョン
すべての 7.18.x バージョン
すべての 7.19.x バージョン
すべての 7.20.x バージョン
7.21.x バージョン <= 7.21.15
すべての 8.0.x バージョン
すべての 8.1.x バージョン
すべての 8.2.x バージョン
すべての 8.3.x バージョン
すべての 8.4.x バージョン
すべての 8.5.x バージョン
すべての 8.6.x バージョン
すべての 8.7.x バージョン
8.8.x バージョン <= 8.8.6
8.9.x バージョン <= 8.9.3
8.10.x バージョン <= 8.10.3
8.11.x バージョン <= 8.11.2
8.12.0
どのバージョンの Bitbucket に修正ライブラリが含まれていますか?
7.21.16 以上 (LTS)
8.8.7 以降
8.9.4 以上 (LTS)
8.10.4 以降
8.11.3 以降
8.12.1 以降
8.13.0 以降
8.14.0 以降
8.15.0 以降
8.16.0 以降
Bitbucket Server および Bitbucket Data Center のどのバージョンが影響を受けますか?
SnakeYAML ライブラリに関連する CVE (CVE-2022-1471) の詳細情報を求めていらっしゃると理解します。
アトラシアンのセキュリティ チームはこの脆弱性評価しておりますが、これまでのところ、Bitbucket にエクスプロイト パスがあるかどうかを判断できませんでした。エクスプロイトが可能かどうかは引き続き確認中です。Bitbucket でエクスプロイト パスが見つかった場合には、セキュリティ ブログを更新します。いずれにせよ、Bitbucket の SnakeYAML ライブラリを更新し、修正を含むサポート バージョンをリリースしました。
影響を受けるバージョン
7.17.0 から 7.17.21
7.18.0 から 7.18.4
7.19.0 から 7.19.5
7.20.0 から 7.20.3
7.21.0 から 7.21.15
8.0.0 から 8.0.5
8.1.0 から 8.1.5
8.2.0 から 8.2.4
8.3.0 から 8.3.4
8.4.0 から 8.4.4
8.5.0 から 8.5.4
8.6.0 から 8.6.4
8.7.0 から 8.7.5
8.8.0 から 8.8.6
8.9.0 から 8.9.3
8.10.0 と 8.10.3
8.11.0 から 8.11.2
8.12.0
パッチ適用済みバージョンの Bitbucket およびバンドルされている Elasticsearch/ Opensearch の現在の制限事項
以下の Bitbucket バージョンには、パッチが適用された SnakeYAML ライブラリのバージョン 2.0 が含まれており、直接の影響を受けません。ただし、SnakeYAML ライブラリの影響を受けるバージョン (1.2.6、1,30 から 1.32) を含む Opensearch バージョンがバンドルされています。
7.21.12 から 7.21.15
8.7.4 から 8.7.5
8.8.6
8.9.1 から 8.9.3
8.10.0 から 8.10.3
8.11.0 から 8.11.2
8.12.0
Bitbucket 7.17.17 から 7.17.20 修正バージョンおよびバンドルされた Elasticsearch の現在の制限事項
Bitbucket 7.17.17 から 7.17.20 は SnakeYAML 2.0 のパッチが適用されています。しかし、Bitbucket 7.17.x は影響を受けるライブラリを含む Elasticsearch バージョンをバンドルしています。Elasticsearch のライセンス方法 (有償モデル) が変更されたため、アトラシアンは Bitbucket 7.17.x 修正バージョンに Elasticsearch のパッチ適用済みバージョンを含めることができませんでした。
バンドルされている Elasticsearch を使用して Bitbucket 7.17.x を実行している場合、7.21.16+ (または任意の 8.X 修正バージョン) にアップグレードすることを強く推奨します。7.17.x はすでにアトラシアンのサポート終了 (EOL) ポリシーに従ってサポート終了となっています。Bitbucket 7.21.16+ は Opensearch (オープンソース) をバンドルしており、両方のアプリケーションは SnakeYAML 2.0 ライブラリにパッチされています。
修正バージョン (Bitbucket および Opensearch 含む)
7.21.16 以上 - LTS (長期サポート)
8.8.7 以降
8.9.4 以上 (LTS)
8.10.4 以降
8.11.3 以降
8.12.1 以降
8.13.0 以降
8.14.0 以降
8.15.0 以降
8.16.0 以降
必要なアクション
CVE-2022-1471 の脆弱性潜在的な影響についての詳細を確認する
Bitbucket を上記のリストにある修正バージョンにアップグレードする
アップグレード方法の詳細は、「Bitbucket アップグレード ガイド」を参照してください。
Bitbucket の修正バージョンへのアップグレードについてサポートが必要な場合は、新たにサポート チケットを起票してください (または、代理でサポート チケットを起票する必要がある場合はお知らせください)。
テスト
本番環境の停止を防ぐために行う最も重要なステップは、変更管理のベストプラクティスに従って、まずステージング環境でアップグレードをテストすることです。ステージング環境のセットアップ方法の詳細については「Bitbucket Server でステージングのサーバー環境を構築する方法」をご確認ください。
Bitbucket がすでに攻撃を受けているかどうかを確認することはできますか?
SnakeYAML ライブラリに関連する CVE (CVE-2022-1471)、および、インスタンスが侵害されたかどうかについて、さらに詳しい情報を求めていらっしゃると理解します。
恐縮ながら、お客様の Bitbucket インスタンスが攻撃を受けたかどうかを弊社側で確認することはできません。
詳細な調査が必要な場合、内部のセキュリティ チーム、スペシャリスト、セキュリティ フォレンジックの専門機関にご相談いただくことを推奨します。
アトラシアンでは、Bitbucket のファイルシステムの完全性を確認することも推奨します。たとえば、現在の状態のアーティファクトを直近のバックアップと比較することで、予期せぬ差分があるかどうかを確認できます。
セキュリティ侵害はそれぞれ異なり、攻撃されたコンポーネントによっては、攻撃者が痕跡を消し、重要なファイル (syslog、監査ログ、アクセスログなど) を変更しているリスクがあります。
Bitbucket ミラーは影響を受けますか?
SnakeYAML ライブラリに関連する CVE (CVE-2022-1471) に関する詳細を求めていらっしゃると理解します。
はい、Bitbucket ミラーには影響を受ける SnakeYAML ライブラリが含まれています。
必要なアクション
CVE-2022-1471 の脆弱性潜在的な影響についての詳細を確認する
Bitbucket Mirror を上記のリストにある修正バージョンにアップグレードする
アップグレード方法の詳細は、「Bitbucket アップグレード ガイド」を参照してください。
Bitbucket の修正バージョンへのアップグレードについてサポートが必要な場合は、新たにサポート チケットを起票してください (または、代理でサポート チケットを起票する必要がある場合はお知らせください)。
修正バージョン (Bitbucket および Opensearch を含む)
以下は、SnakeYAML ライブラリのパッチ適用済みおよび更新バージョンを含むバージョンです (2.0)。
7.21.16 以上 - LTS (長期サポート)
8.8.7 以降
8.9.4 以上 (LTS)
8.10.4 以降
8.11.3 以降
8.12.1 以降
8.13.0 以降
8.14.0 以降
8.15.0 以降
8.16.0 以降
パッチ適用済みバージョンの Bitbucket およびバンドルされている Elasticsearch/ Opensearch の現在の制限事項
以下の Bitbucket バージョンには、パッチが適用された SnakeYAML ライブラリのバージョン 2.0 が含まれており、直接の影響を受けません。ただし、SnakeYAML ライブラリの影響を受けるバージョン (1.2.6、1.30 から 1.32) を含む Opensearch バージョンがバンドルされています。
7.21.12 から 7.21.15
8.7.4 から 8.7.5
8.8.6
8.9.1 から 8.9.3
8.10.0 から 8.10.3
8.11.0 から 8.11.2
8.12.0
上記のバージョンの Bitbucket を実行していて、Bitbucket とOpensearch の両方で Bitbucket Mirror をパッチ適用済みバージョンにすぐに更新できない場合は、Bitbucket Mirror から /opensearch ディレクトリを安全に削除できます。
Bitbucket Mirror の修正バージョンへのアップグレードについてサポートが必要な場合は、新たにサポート チケットを起票してください (または、代理でサポート チケットを起票する必要がある場合はお知らせください)。
Bitbucket Mesh ノードは影響を受けますか?
Bitbucket Mesh ノード上の SnakeYAML ライブラリ CVE-2022-1471 に関する詳細情報を求めていらっしゃると理解します。
Bitbucket Mesh ノードは別の Bitbucket インスタンスの背後にあり、一般には公開されていないはずのため、直接影響は受けません。ただし、Bitbucket Mesh の一部のバージョンには、影響を受けるバージョンの SnakeYAML ライブラリが含まれています。
以下の Bitbucket Mesh バージョンが影響を受けます。
すべての Bitbucket Mesh 1.0 .X バージョン
すべての Bitbucket Mesh 1.1 .X バージョン
すべての Bitbucket Mesh 1.2 .X バージョン
すべての Bitbucket Mesh 1.3 .X バージョン
Bitbucket Mesh 1.4.0 および 1.4.1
Bitbucket Mesh 1.5.0 および 1.5.1
Bitbucket Mesh 1.5.0 および 1.5.1
Bitbucket Mesh 2.0.0 および 2.0.1
Mesh 修正バージョン
Bitbucket Mesh 1.4.2 以上
Bitbucket 1.5.2 以上
Bitbucket 2.0.2 以上
Bitbucket 2.1.2 以上
Bitbucket 2.2.0 以上
必要なアクション
CVE-2022-1471 の脆弱性潜在的な影響についての詳細を確認する
Bitbucket ミラーを上記のリストにある修正バージョンにアップグレードする
Bitbucket Mesh の修正バージョンへのアップグレードについてサポートが必要な場合は、新たにサポート チケットを起票する (または、代理でサポート チケットを起票する必要がある場合はお知らせください)。
すぐにアップグレードできない場合は、Bitbucket Mesh ノードと Bitbucket DC ノードがインターネット上で公開されていないようにする
テスト
本番環境の停止を防ぐために行う最も重要なステップは、変更管理のベストプラクティスに従って、まずステージング環境でアップグレードをテストすることです。ステージング環境のセットアップ方法の詳細については「Bitbucket Server でステージングのサーバー環境を構築する方法」をご確認ください。
このアプリの安全性を確保する方法を教えてください
Bitbucket を修正バージョンにアップグレードする
Bitbucket をセキュリティ勧告にリストされている修正バージョンにアップグレードすることが、CVE-2022-1471 を修正する最も確実な方法です。修正バージョンをインストールしたら、それ以上のアクションは必要ありません。
修正済みバージョンには次のものが含まれます。
7.21.16 以上 - LTS (長期サポート)
8.8.7 以降
8.9.4 以上 (LTS)
8.10.4 以降
8.11.3 以降
8.12.1 以降
8.13.0 以降
8.14.0 以降
8.15.0 以降
8.16.0 以降
パッチを適用したバージョンの Bitbucket を外部の Opensearch/Elasticsearch で実行しています。Opensearch/Elasticsearch ディレクトリを Bitbucket から削除できますか?
はい、外部の Opensearch/Elasticsearch サービス実行している場合、Bitbucket のインストール ディレクトリから Opensearch/Elasticsearch ディレクトリを削除しても問題ありません。
このディレクトリは、お客様の環境内の次の場所にあります。
<$BITBUCKET_INSTALL>/elasticsearch
<$BITBUCKET_INSTALL>/opensearch
念のため、ディレクトリを削除する前に必ずバックアップを取ってください。
外部の Opensearch/Elasticsearch を実行しています。これらを更新する必要がありますか?
SnakeYAML ライブラリ CVE-2022-1471 と、使用している外部の Opensearch/Elasticsearch サービスについての詳細を求めていらっしゃると理解します。
この脆弱性の影響を受けるバージョンを実行している場合は、外部の Opensearch/Elasticsearch サービス更新する必要があります。
外部の Opensearch/Elasticsearch のアップグレード方法について質問がある場合は、ベンダーにお問い合わせてサポートを受けていただくことを強くお勧めします。アトラシアンは、Bitbucket のガイダンスまたはサポートだけ提供可能です。
SnakeYAMLライブラリのみを更新して、同じバージョンの Bitbucket を使い続けることはできますか?
SnakeYAML ライブラリ CVE-2022-1471 と、使用している Bitbucket バージョンで SnakeYAML ライブラリのみアップグレードすることを希望されているとの理解です。
残念ながら、それはできません。互換性マトリクスは記載のバージョンに固有のものです。アプリはサポート対象バージョンでのみパッチおよびテストされているため、サポート対象外のバージョンで修正が動作するかどうかを当社で確認することはできません。
最善の方法は、Bitbucket Data Center および Server アップグレード ガイドに従って Bitbucket を修正バージョンに更新することです。