CVE-2022-26136/CVE-2022-26137 の FAQ
全般的な情報
アトラシアンでは、未認証のリモートの攻撃者がファーストパーティおよびサードパーティ製のアプリで利用されるサーブレット フィルターをバイパスできる、複数のアトラシアン製品に存在する脆弱性を把握しています。 脆弱性の影響は各アプリで利用されているフィルターおよびそれらの利用方法に応じます。 アトラシアンではこの脆弱性の根本原因を修正する更新をリリース済みですが、この脆弱性がもたらすすべての潜在的な影響を完全に列挙したわけではありません。 詳細については「アトラシアンのサーバーおよび Data Center - CVE-2022-26136/7 - サーブレット フィルターのディスパッチャーの脆弱性」をご確認ください。
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。
クラウド インスタンスはこれらの脆弱性の影響を受けますか?
いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず、お客様による対応は不要です。
アトラシアンの他のサーバー (DC) 製品はこの脆弱性の影響を受けますか?
次の製品は影響を受けることが確認されています。
Bamboo Server および Data Center
Bitbucket Server および Data Center
Confluence Server および Data Center
Crowd Server および Data Center
Fisheye および Crucible
Jira Server および Data Center
Jira Service Management Server および Data Center
サードパーティ製アプリは利用していない場合、安全ですか?
これらの脆弱性は、影響を受ける各製品に含まれるコードに影響します。サードパーティ製アプリがインストールされていない場合であってもシステムは引き続き影響を受けます。
アトラシアンはメールの送信先をどのように判断したのですか?
アトラシアンではお客様が関心を示した製品について、すべての重大なセキュリティ勧告のコピーを "アラート" メーリング リストに送信します (Sourcetree を除く)。このリストに登録するには、https://my.atlassian.com/email でメール設定を更新してください。
自社インスタンスがすでに攻撃されているかどうかを確認することはできますか?
恐縮ながら、お客様のインスタンスが攻撃を受けたかどうかを弊社側で確認することはできません。詳細な調査が必要な場合、内部のセキュリティ チーム、スペシャリスト、セキュリティ フォレンジック機関にご相談ください。
アトラシアンでは、アプリケーションのファイルシステムの完全性を確認することを推奨しています。たとえば、現在の状態のアーティファクトを直近のバックアップと比較することで、予期せぬ差分があるかどうかを確認できます。
セキュリティ侵害はそれぞれ異なり、攻撃されたコンポーネントによっては、攻撃者が痕跡を消し、重要なファイル (syslog、監査ログ、アクセスログなど) を変更しているリスクがあります。
当社のインスタンスはインターネットに接続されていません。引き続きアップグレードが必要ですか?
はい、アップグレードを行ってください。はい。インスタンスをインターネットに公開しないことは攻撃対象を大きく狭めますが、セキュリティ修正が利用可能であるときはアップグレードすることを常に推奨しています。また、インスタンスがインターネットに公開されていない場合であっても、クロスサイト スクリプティングなどの攻撃は引き続き可能です。
当社では、お客様が範囲と影響を判断できるよう、可能な限り多くの情報を提供することを心がけています。インスタンスへの外部アクセスの有無などの脆弱性を軽減する要素が、アップグレードのインストールを見送れるほどビジネスへのリスクを軽減しているかどうかの判断は、最終的にはお客様がこれらの情報に基づいて行う必要があります。
プロキシ設定を変更することでこの脆弱性を軽減できますか?
これは良い案に聞こえますが、ブロック リストはバイパスされる傾向にあるため、このような種類の脆弱性に対する有効な回避策として当社で推奨するには信頼性に欠けると考えます。考慮すべきエンコーディング事項が非常に多く、それらすべてを確実に網羅するのはほとんど不可能です。実際に、当社では過去に悪意のあるリクエストのブロック方法についてガイダンスを提供しようとしたことがありますが、それは残念ながら信頼性に欠けるものでした。
パッチ/更新が動作しているかどうかをどのように確認できますか?
インスタンスの更新が成功したかどうかは、バージョン番号をセキュリティ勧告の修正済みバージョンの一覧と比較することで確認できます。
来月も別の勧告を公開するのですか?
このような短期間に複数の勧告を発表したことにより、ご不便をおかけしております。弊社で直近の勧告の有無を保証することはできませんが、よろしければ Jira のセキュリティ勧告の履歴をご確認ください。現在は変則的な状況であることをお分かりいただけるかと思います。弊社では、お客様のインスタンスを可能な限りセキュアに保つことを常に優先しています。
最近になって多数の勧告が公開されているのはなぜですか?
アトラシアンでは、自社製品のクリティカルなセキュリティ脆弱性を特定するために複数の方法を用いています。クリティカルな脆弱性が見つかった場合は当社の義務として、お客様がご利用のシステムを保護できるように適切なタイミングでお客様にご連絡しています。
最近インスタンスをアップグレードしたばかりです。2 週間後にまたアップグレードを促されるのでしょうか?
このような短期間に複数の勧告を発表したことにより、ご不便をおかけしております。2022 年 7 月以降、アトラシアンでは最大で月に1回重大なセキュリティ勧告を公開します。ただし次の例外は除きます。
- クリティカルな脆弱性が公開され、広く知られている
- 攻撃が確認できる報告が広く存在する
We use HTTPS/SSL, are we still vulnerable?
Yes. HTTPS is HTTP with encryption (SSL/TLS) which helps secure content traveling between two points. Whether or not encryption is used doesn’t have any effect on how the vulnerability can be exploited.
各製品
Jira Server/Data Center
先日、Seraph の認証バイパス - CVE-2022-0540 を修正するために Jira と一部のサードパーティ製アプリをアップグレードしました。このインスタンスは安全ですか?
いいえ、これは別のセキュリティ脆弱性であり、過去の更新は CVE-2022-0540 の脆弱性に固有のものです。ご利用の Jira インスタンスを保護するには、セキュリティ勧告で指定された修正済みバージョンにアップグレードする必要があります。
過去の CVE (Seraph の認証バイパス - CVE-2022-0540) では影響を受けるサードパーティ製アプリを特定していました。今回このような動きがないのはなぜですか?
CVE-2022-0540 の影響を受けるアプリは XML 構成で固有の設定を利用していたため、当社ですべての Marketplace アプリをスキャンし、影響を受けているものを特定することができました。各アプリでの CVE-2022-26136 と CVE-2022-26137 の影響を確認するには、各アプリで利用されているサーブレット フィルターとその背後の業務ロジックを理解する必要があり、これらをスキャンすることはできません。
モバイル プラグインにおける完全な読み取り権を持つサーバー側のリクエスト フォージェリ - CVE-2022-26135 を修正するために Jira をアップグレードしました。このインスタンスは安全ですか?
セキュリティ勧告で指定されている修正済みバージョンにアップグレード済みの場合、ご利用のインスタンスは安全です。CVE-2022-26135 の軽減策の一環として Mobile Plugin for Jira の更新のみを行っている場合、ご利用のインスタンスを保護するには、このセキュリティ勧告で指定されている修正済みバージョンにアップグレードする必要があります。
Jira インスタンスのアップグレードで支援が必要です。どうすればよいですか?
アップグレードに関連する詳細な質問をお持ちの場合やステップバイステップの手順が必要な場合、Jira のアップグレードをご確認ください。Jira のアップグレードについての推奨されるサポート対象の手法です。このコメントのすべての情報のほか、アップグレードの成功に役立つヒントが含まれています。
ゼロ ダウンタイムを利用して Jira Data Center をアップグレードする方法については「Jira をゼロ ダウンタイムでアップグレードする」をご確認ください。
テスト
本番環境の停止を防ぐために行うもっとも重要なステップは、アップグレードに最初にステージング環境でテストすることで変更管理のベスト プラクティスに従うことです。ステージング環境のセットアップ方法の詳細については「Jira のテスト環境を作成する」をご確認ください。
If you still have questions or concerns, please raise a support request at https://support.atlassian.com/ja/.
Confluence Server/Data Center
前回の勧告を受けて Confluence インスタンスをアップグレード済みです。今回の勧告を受けてどうすればよいですか?
サーブレット フィルターのディスパッチャーの脆弱性のコード面での修正は、Confluence のセキュリティ勧告 2022-06-02 と同じバグ修正リリースに含まれています。つまり、ご利用の Confluence バージョンは脆弱性を持たず、特別なアクションは不要です。
この情報は Confluence にのみ適用されます。勧告に含まれる他の製品についての質問をお持ちの場合、サポート チームにお問い合わせください。
前回の勧告を受けてアップグレードではなく軽減策を採用していた場合、どうすればよいですか?
サーブレット フィルターのディスパッチャーの脆弱性では、影響を受けるバージョンの修正や軽減を行う方法はありません。つまり、インスタンスを攻撃から守るには修正済みバージョンへのアップグレードが必要です。
アップグレードで支援が必要です
Confluence のアップグレードについての詳細情報やステップバイステップの手順については、「Confluence のアップグレード」または「Confluence を手動でアップグレードする」をご確認ください。Confluence のアップグレードについての推奨されるサポート対象の手法です。このコメントのすべての情報のほか、アップグレードの成功に役立つヒントが含まれています。
The most important step to take to avoid production outages is to follow change management best practices by testing the upgrade in a staging environment first. For more information on how to set up a staging environment, see Create a staging environment for upgrading Confluence. If you still have questions or concerns, please raise a support request at https://support.atlassian.com/ja/
Bamboo Server/Data Center
Bamboo インスタンスのアップグレードで支援が必要です。どうすればよいですか?
アップグレードに関連する詳細情報やステップバイステップの手順が必要な場合、Bamboo Upgrade Guide をご確認ください。これは Bamboo のアップグレードについての推奨されるサポート対象方法であり、アップグレードを成功させるためのヒントも含まれています。
テスト
本番環境の停止を防ぐために行うもっとも重要なステップは、アップグレードに最初にステージング環境でテストすることで変更管理のベスト プラクティスに従うことです。本番環境のアップグレード中に発生する可能性のある問題を把握するため、最新の本番環境データを利用してアップグレード手順を実行することをおすすめします。
修正済みバージョン
Bamboo でリリース済みの、修正済みバージョンの次の一覧をご確認ください。
- 7.1.x or 7.2.x >= 7.2.9
8.0.x >= 8.0.9
8.1.x >= 8.1.8
8.2.x >= 8.2.4
バージョン >= 9.0.0
If you still have questions or concerns, please raise a support request at https://support.atlassian.com/ja/
Bitbucket Server/Data Center
Bamboo Server/Data Center インスタンスのアップグレードで支援が必要です。どうすればよいですか?
アップグレードに関する詳細情報やステップバイステップの手順については Bitbucket Data Center アップグレード ガイドをご確認ください。Bitbucket をクラスタで実行していない場合は Bitbucket Server アップグレード ガイドの手順をご利用ください。これは Bitbucket Server のアップグレードについての推奨されるサポート対象方法であり、このコメントに含まれるすべての情報のほか、アップグレードを成功させるためのヒントも含まれています。
ゼロ ダウンタイムを利用して Bitbucket Data Center をアップグレードする方法については「Bitbucket をゼロ ダウンタイムでアップグレードする」をご確認ください。
テスト
本番環境の停止を防ぐために行うもっとも重要なステップは、アップグレードに最初にステージング環境でテストすることで変更管理のベスト プラクティスに従うことです。ステージング環境のセットアップ方法の詳細については「Bitbucket Server でステージングのサーバー環境を構築する方法」をご確認ください。
修正済みバージョン
Bitbucket Server でリリース済みの、修正済みバージョンの次の一覧をご確認ください。
- 7.6.x >= 7.6.16 (LTS)
- 7.17.x >= 7.17.8 (LTS)
- 7.19.x >= 7.19.5
- 7.20.x >= 7.20.2
- 7.21.x >= 7.21.2 (LTS)
- 8.0.x >= 8.0.1
- 8.1.x >= 8.1.1
- バージョン >= 8.2.0
If you still have questions or concerns, please raise a support request at https://support.atlassian.com/ja/.
現在自社で利用しているバージョン用のバグ修正がリリースされていないのはなぜですか?
当社のバグ修正ポリシーに従い、クリティカルなセキュリティバグ修正のバックポートは、直近 2 年でリリースされたすべての LTS バージョンと、修正のリリース日から 6 か月以内にリリースされたすべてのフィーチャー バージョンに対して行います。つまり、7.19.x 未満で LTS (長期サポート) バージョンではないバージョンには、このバグや今後のセキュリティ バグの修正が提供されません。ご利用の Bitbucket バージョンでバグ修正を確実に受け取りたい場合、ご利用のバージョンがサポート終了を迎える前にアップグレードすることをおすすめします。