CVE-2022-36804 の FAQ
アトラシアン ナレッジベース
- アプリケーション リンクのトラブルシューティング ガイド
- データベース トラブルシューティングとハウツー ガイド
- パフォーマンスのトラブルシューティング ツールに関するベスト プラクティス
- SSL / TLS のトラブルシューティング
- 複数製品に共通のナレッジ
- アトラシアンのサーバー アプリケーションのプロキシ
- Atlassian Account Troubleshooting
- Web リソースのコードへのマッピング
- 事前のお知らせを配信登録する
- How to capture HTTP traffic using Wireshark, Fiddler, or tcpdump
- Cross Site Request Forgery (CSRF) protection changes in Atlassian REST
- 購入したアドオン機能を利用できない
- アトラシアン製品とのシングル サインオン統合
- トラブルシューティング サービス
- Test disk access speed for a Java application
- ユーザー管理のトラブルシューティングとハウツー ガイド
- アトラシアンのログインの問題
- OR の JQL でエラーが発生します。
- Java 環境のタイムゾーンを設定する方法
- Jira Cloud から Jira Server への移行後に Websudo が無効になる
- ヘルス チェック: Lucene インデックス ファイルの場所
- ヘルス チェック: スレッド制限
- Editor Window is Small After Upgrading where as the preview is Normal window size
- Java 8u111 の発信プロキシの基本認証が失敗する
- すべてのアトラシアン ナレッジベース記事
- ライセンス数に含まれない Jira 管理者を作成する
- Jira にログインできない (LDAP: エラー コード 49、データ 52e)
- Crowd のアップグレード後に Crowd にログインできない
- Performance Data Collector の使用方法
- アトラシアン アプリケーションで使用されるポート
- GC ログに基づいて Xmx を定義する方法
- How to log in to my Atlassian cloud site for the first time
- Tomcat で特定の URL へのアクセスをブロックする方法
- CDN の構成時に、Data Center でユーザーがインストールしたアプリのヘルス チェックが失敗する
- CDN の構成時に、Data Center で HTTP22 ヘルス チェックが失敗する
- キャッシュおよび HTTP/2 用の Apache を設定する方法
- How to Unsubscribe from Jira Server or Confluence Server apps on TestFlight (Server and Data Center)
- Unable to synchronize with Active Directory due to SSL requirement (Server and Data Center)
- Jira Align - Jira Connector pages do not load completely
- Jira Align - Work In Process by Value Stream is missing work items
- JVM is not reachable with jstat and jstack
- Data pipeline troubleshooting
- Using JDK 11 to develop apps with the Atlassian SDK is not yet supported
- How to download Atlassian Marketplace apps through the command line
- How to manage named contacts for Atlassian Premier Support (on-premises)
- Bidirectional characters warning in Atlassian products
- CVE-2021-42574 の FAQ
- Jira is logging multiple cache flushes in the application logs (Server and Data Center)
- CVE-2021-44228、CVE-2021-45046、および CVE-2021-45105 の FAQ
- On-Prem Upgrade Information (March 2022)
- CVE-2022-22965 の FAQ
- CVE-2022-0540 の FAQ
- Troubleshooting Configure Fields in Jira Server and Data Center
- CVE-2022-26134 の FAQ
- How to disable custom Configure Fields in Create Issue screen in Jira Server and Data Center
- CVE-2022-26135 の FAQ
- CVE-2022-26138 の FAQ
- CVE-2022-26136/CVE-2022-26137 の FAQ
- CVE-2022-36804 の FAQ
- Atlassian Authentication App
- CVE-2022-43782 の FAQ
- Allowlist URL's for Jira-Slack integration
- CVE-2023-22501 の FAQ
- Cannot start Jira over another node via pbrun command (Server and Data Center)
- Attachment health check shows warning message when a custom attachment page is used in Jira Server and Data Center
- CVE-2019-13990 の FAQ
- CVE-2022-1471 の FAQ
- CVE-2023-22515 の FAQ
- CVE-2023-22518 の FAQ
- CVE-2023-46604 の FAQ
- CVE-2023-22523 の FAQ
- CVE-2023-22522 の FAQ
- CVE-2023-22524 の FAQ
- CVE-2023-22527 の FAQ
- Using a temporary license before upgrading to Cloud or Data Center
- Guide for Atlassian Premier Support Named Contacts: On-Premises Product Support Essentials
- What data should be provided to Atlassian on support tickets for an effective initial troubleshooting
このページの内容
関連コンテンツ
- 関連コンテンツがありません
全般的な情報
Bitbucket Server および Data Center の複数の API エンドポイントにコマンド インジェクションの脆弱性があります。Bitbucket の公開または非公開リポジトリへの読み取り権限を持つ攻撃者は、悪意のある HTTP リクエストを送信することで任意のコードを実行できます。
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。
クラウド インスタンスは影響を受けますか?
いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず、お客様による対応は不要です。
リポジトリへのアクセスに bitbucket.org ドメインを利用しています。影響を受けますか?
いいえ、bitbucket.org ドメイン経由でリポジトリにアクセスしている場合は Bitbucket Cloud をご利用であり、脆弱性の影響を受けません。
アトラシアンの他のサーバー (DC) 製品はこの脆弱性の影響を受けますか?
この脆弱性は Bitbucket Server および Data Center に固有のものであるため、Crowd、Jira、Confluence、Bamboo などの他のアトラシアンのサーバー/DC 製品は影響を受けません。ご利用のインスタンスが侵害されたとお考えの場合は、社内のセキュリティ チームとともに影響の全体像や軽減計画のスコープ設定を行ってください。また、高優先度のサポート ケースをオープンしてアトラシアン サポートにすぐにお知らせください。
Bitbucket Server/DC のすべてのインスタンスが影響を受けますか?
6.10.17 よりもあとにリリースされたすべてのバージョンが影響を受けます。つまり、7.0.0 から 8.3.0 までの任意のバージョン (8.3.0を含む) がこの脆弱性の影響を受けます。
The full list of affected versions can be found at the bug report BSERV-13438 - Getting issue details... STATUS
必要なアクション: アトラシアンでは、勧告の「修正済みバージョン」セクションで言及されているいずれかのバージョンへのアップグレードを推奨しています。最新バージョンの完全な説明については、Bitbucket Server および Data Center のリリース ノートをご確認ください。最新のバイナリをダウンロード センターからダウンロードできます。
この脆弱性が修正されている Bitbucket Server/DC バージョンを教えてください。
Bitbucket Server でリリース済みの、修正済みバージョンの次の一覧をご確認ください。
プロキシ設定を変更することでこの脆弱性を軽減できますか?
これは良い案に聞こえますが、ブロック リストはバイパスされる傾向にあるため、このような種類の脆弱性に対する有効な回避策として当社で推奨するには信頼性に欠けると考えます。考慮すべきエンコーディング事項が非常に多く、それらすべてを確実に網羅するのはほとんど不可能です。実際に、当社では過去に悪意のあるリクエストのブロック方法についてガイダンスを提供しようとしたことがありますが、それは残念ながら信頼性に欠けるものでした。
現在自社で利用しているバージョン用のバグ修正がリリースされていないのはなぜですか?
当社のバグ修正ポリシーに従い、クリティカルなセキュリティバグ修正のバックポートは、直近 2 年でリリースされたすべての LTS バージョンと、修正のリリース日から 6 か月以内にリリースされたすべてのフィーチャー バージョンに対して行います。つまり、7.19.x 未満で LTS (長期サポート) バージョンではないバージョンには、このバグや今後のセキュリティ バグの修正が提供されません。ご利用の Bitbucket バージョンで今後も最新のバグ修正を確実に受け取りたい場合、ご利用のバージョンがサポート終了を迎える前にアップグレードすることをおすすめします。
アップグレードで支援が必要です
アップグレードに関する詳細情報やステップバイステップの手順については Bitbucket Data Center アップグレード ガイド をご確認ください。詳細情報が必要な場合や Bitbucket をクラスタで実行していない場合は Bitbucket Server アップグレード ガイド の手順をご利用ください。これは Bitbucket Server のアップグレードについての推奨されるサポート対象方法であり、このコメントに含まれるすべての情報のほか、アップグレードを成功させるためのヒントも含まれています。
ゼロ ダウンタイムを利用して Bitbucket Data Center をアップグレードする方法については「Bitbucket をゼロ ダウンタイムでアップグレードする」をご確認ください。
テスト
本番環境の停止を防ぐために行うもっとも重要なステップは、アップグレードに最初にステージング環境でテストすることで変更管理のベスト プラクティスに従うことです。ステージング環境のセットアップ方法の詳細については「Bitbucket Server でステージングのサーバー環境を構築する方法」をご確認ください。
If you still have questions or concerns, please raise a support request at https://support.atlassian.com/ja/
当社のインスタンスでは公開リポジトリを利用していません。必要なアクションはありますか? 安全でしょうか?
Bitbucket Server/DC インスタンスに公開リポジトリがない場合、ユーザーがこの脆弱性を利用するには Bitbucket アカウントが必要になるため、悪用/攻撃のリスクは低くなります。しかしながら、勧告の詳細ページのガイダンスは念のため引き続き適用されます。
ミラーのアップグレードも必要ですか?
この脆弱性は REST API 経由で利用され、ミラーでは既知のすべての危険性を持つエンドポイントはブロックされています。しかしながら、脆弱性のあるコマンド ライン引数のハンドラは引き続きミラーに存在するため、別の方向からの攻撃の可能性があります。このため、ミラーのアップグレードが推奨されます。
アトラシアンはメールの送信先をどのように判断したのですか?
アトラシアンではお客様が関心を示した製品について、すべての重大なセキュリティ勧告のコピーを "アラート" メーリング リストに送信します (Sourcetree を除く)。このリストに登録するには、https://my.atlassian.com/email でメール設定を更新してください。
Bitbucket がすでに攻撃を受けているかどうかを確認することはできますか?
恐縮ながら、お客様の Bitbucket インスタンスが攻撃を受けたかどうかを弊社側で確認することはできません。詳細な調査が必要な場合、内部のセキュリティ チーム、スペシャリスト、セキュリティ フォレンジック機関にご相談ください。
アトラシアンでは、Bitbucket のファイルシステムの完全性を確認することを推奨しています。たとえば、現在の状態のアーティファクトを直近のバックアップと比較することで、予期せぬ差分があるかどうかを確認できます。
セキュリティ侵害はそれぞれ異なり、攻撃されたコンポーネントによっては、攻撃者が痕跡を消し、重要なファイル (syslog、監査ログ、アクセスログなど) を変更しているリスクがあります。
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
はい。Bitbucket Server および Data Center の修正済みバージョンへのアップグレードは、ご利用のインスタンスを CVE-2022-36804 から保護する唯一の方法です。
パッチが動作するかどうかはどのように確認できますか? 当社のセキュリティ チームが修正をテストできるように詳細情報を提供してください。
この問題についての公開チケットで、この問題は API エンドポイント経由の未認証のリモート コード実行の脆弱性であることを共有しています。当社では、脆弱性を持つインスタンスを開示するペイロードを共有することはできませんが、こちらの情報をペネトレーション テスト チームに提供して開始点にしていただければと思います。
多くの詳細情報を共有すると、悪意のある攻撃者がそれを利用し、脆弱性を持つ他の Bitbucket インスタンスへの攻撃方法を開発する可能性があります。
関連コンテンツ
- 関連コンテンツがありません