CVE-2022-26135 の FAQ
全般的な情報
Jira の Mobile Plugin for Jira アプリで、高度な深刻度の脆弱性である完全な読み取り権の SSRF (CVE-2022-26135) が見つかりました。詳細を Jira Server および Data Center - 完全な読み取り権の SSRF - CVE-2022-26135 でご確認ください。
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。
クラウド インスタンスは影響を受けますか?
いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず、お客様による対応は不要です。
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
はい。インスタンスをインターネットに公開しないことは攻撃対象を大きく狭めますが、セキュリティ修正が利用可能であるときはアップグレードすることを常に推奨しています。当社では、お客様が範囲と影響を判断できるよう、可能な限り多くの情報を提供することを心がけています。インスタンスへの外部アクセスの有無などの脆弱性を軽減する要素が、アップグレードのインストールを見送れるほどビジネスへのリスクを軽減しているかどうかの判断は、最終的にはお客様がこれらの情報に基づいて行う必要があります。
私のインスタンスではサインアップを有効化していません。引き続きアップグレードが推奨されますか?
はい。新しいユーザー アカウントが制御されているとこの脆弱性を利用した攻撃の可能性は弱まりますが、内部のユーザー アカウントによる攻撃の可能性は引き続き考えられます。このため、セキュリティ修正が提供されている場合は常にアップグレードを推奨しています。当社では、お客様が範囲と影響を判断できるよう、可能な限り多くの情報を提供することを心がけています。インスタンスへの外部アクセスの有無などの脆弱性を軽減する要素が、アップグレードのインストールを見送れるほどビジネスへのリスクを軽減しているかどうかの判断は、最終的にはお客様がこれらの情報に基づいて行う必要があります。
このアプリの安全性を確保する方法を教えてください
Jira または Jira Service Management の修正済みバージョンのインストール
CVE-2022-26135 を修復するもっとも確実な方法はセキュリティ勧告に記載された修正済みバージョンをインストールすることです。修正済みバージョンをインストールしたら、以降の追加操作は不要です。
修正済みバージョンには次のものが含まれます。
Jira Core Server、Jira Software Server、および Jira Software Data Center
8.13.x >= 8.13.22
8.20.x >= 8.20.10
8.22.x >= 8.22.4
9.0.0
Jira Service Management Server および Data Center
4.13.x >= 4.13.22
4.20.x >= 4.20.10
4.22.x >= 4.22.4
5.0.0
修正済みバージョンに即座に更新できない場合
アプリを更新
セキュリティ勧告の手順を利用してアプリを更新します。バージョンの互換性は次のとおりです。
| Jira バージョン | Mobile Plugin for Jira |
|---|---|
Jira Core Server および Jira Software Server & Data Center
Jira Service Management Server & Data Center
| 3.2.15 |
Jira Software Server & Data Center
Jira Service Management Server & Data Center
| 3.1.5
Jira 8.13.x または JSM 4.13.x をご利用で、デフォルトのアプリ バージョンである 3.1.x よりも先のバージョンにアップグレード済みである場合、3.1.5 にアップグレードすると、以降のバージョンで適用されたバグ修正や機能がロールバックされます。これには JSM のサポートも含まれます。 |
シナリオ A: ユーザーがインストールしたアプリ
ユーザーがインストールしたアプリのセクションに "Mobile Plugin for Jira" がある場合は [Update] をクリックして最新バージョンを得られます。
シナリオ B: システム アプリ
システム アプリのセクションに "Mobile Plugin for Jira" がある場合、アプリの手動更新について次の手順をご利用ください (再起動は不要です)。
Atlassian Marketplace から、ご利用の Jira バージョンとの互換性を持つ、アプリの修正済みバージョンをダウンロードします (
JARファイルとして保存)メンテナンス期間中に次の作業を行います。
[管理] > [アプリの管理] に移動
[Upload app] を選択
ステップ 1 でダウンロードした JAR ファイルを選択
インストールが完了すると、新しいバージョンはシステム アプリではなくユーザーがインストールしたアプリとして表示されます。
以前の JAR ファイルは <Jira Install>/atlassian-jira/WEB-INF/atlassian-bundled-plugins ディレクトリに残してもかまいません。
アプリを無効化
Mobile Plugin for Jira はシステム アプリの中で特別なカテゴリに属するため、ユーザーがインストールしたアプリと同様に無効化できます。アプリの [Disable] ボタンを利用して、Jira をアップグレードできるようになるまでの間脆弱性を軽減できます。
サポート対象外の Jira バージョンに JAR ファイルをインストールして環境を保護することはできますか?
いいえ、互換性マトリクスは記載のバージョンに固有のものです。アプリはサポート対象バージョンでのみパッチおよびテストされているため、サポート対象外のバージョンで修正が動作するかどうかを当社で確認することはできません。
システムアプリを無効化しようとすると、Jira の警告パネルに "will have serious effects" と表示されます。このアプリを無効化して本当に大丈夫なのでしょうか?
はい、アプリを無効化してかまいません。アプリの無効化による影響は、iOS/Android アプリの動作のみです。チームでモバイル アプリを利用していない場合はアプリを安全に無効化できます。