CVE-2022-36804 の FAQ
全般的な情報
Bitbucket Server および Data Center の複数の API エンドポイントにコマンド インジェクションの脆弱性があります。Bitbucket の公開または非公開リポジトリへの読み取り権限を持つ攻撃者は、悪意のある HTTP リクエストを送信することで任意のコードを実行できます。
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。
クラウド インスタンスは影響を受けますか?
いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず、お客様による対応は不要です。
リポジトリへのアクセスに bitbucket.org ドメインを利用しています。影響を受けますか?
いいえ、bitbucket.org ドメイン経由でリポジトリにアクセスしている場合は Bitbucket Cloud をご利用であり、脆弱性の影響を受けません。
アトラシアンの他のサーバー (DC) 製品はこの脆弱性の影響を受けますか?
この脆弱性は Bitbucket Server および Data Center に固有のものであるため、Crowd、Jira、Confluence、Bamboo などの他のアトラシアンのサーバー/DC 製品は影響を受けません。ご利用のインスタンスが侵害されたとお考えの場合は、社内のセキュリティ チームとともに影響の全体像や軽減計画のスコープ設定を行ってください。また、高優先度のサポート ケースをオープンしてアトラシアン サポートにすぐにお知らせください。
Bitbucket Server/DC のすべてのインスタンスが影響を受けますか?
6.10.17 よりもあとにリリースされたすべてのバージョンが影響を受けます。つまり、7.0.0 から 8.3.0 までの任意のバージョン (8.3.0を含む) がこの脆弱性の影響を受けます。
The full list of affected versions can be found at the bug report BSERV-13438 - Getting issue details... STATUS
必要なアクション: アトラシアンでは、勧告の「修正済みバージョン」セクションで言及されているいずれかのバージョンへのアップグレードを推奨しています。最新バージョンの完全な説明については、Bitbucket Server および Data Center のリリース ノートをご確認ください。最新のバイナリをダウンロード センターからダウンロードできます。
この脆弱性が修正されている Bitbucket Server/DC バージョンを教えてください。
Bitbucket Server でリリース済みの、修正済みバージョンの次の一覧をご確認ください。
プロキシ設定を変更することでこの脆弱性を軽減できますか?
これは良い案に聞こえますが、ブロック リストはバイパスされる傾向にあるため、このような種類の脆弱性に対する有効な回避策として当社で推奨するには信頼性に欠けると考えます。考慮すべきエンコーディング事項が非常に多く、それらすべてを確実に網羅するのはほとんど不可能です。実際に、当社では過去に悪意のあるリクエストのブロック方法についてガイダンスを提供しようとしたことがありますが、それは残念ながら信頼性に欠けるものでした。
現在自社で利用しているバージョン用のバグ修正がリリースされていないのはなぜですか?
当社のバグ修正ポリシーに従い、クリティカルなセキュリティバグ修正のバックポートは、直近 2 年でリリースされたすべての LTS バージョンと、修正のリリース日から 6 か月以内にリリースされたすべてのフィーチャー バージョンに対して行います。つまり、7.19.x 未満で LTS (長期サポート) バージョンではないバージョンには、このバグや今後のセキュリティ バグの修正が提供されません。ご利用の Bitbucket バージョンで今後も最新のバグ修正を確実に受け取りたい場合、ご利用のバージョンがサポート終了を迎える前にアップグレードすることをおすすめします。
アップグレードで支援が必要です
アップグレードに関する詳細情報やステップバイステップの手順については Bitbucket Data Center アップグレード ガイド をご確認ください。詳細情報が必要な場合や Bitbucket をクラスタで実行していない場合は Bitbucket Server アップグレード ガイド の手順をご利用ください。これは Bitbucket Server のアップグレードについての推奨されるサポート対象方法であり、このコメントに含まれるすべての情報のほか、アップグレードを成功させるためのヒントも含まれています。
ゼロ ダウンタイムを利用して Bitbucket Data Center をアップグレードする方法については「Bitbucket をゼロ ダウンタイムでアップグレードする」をご確認ください。
テスト
本番環境の停止を防ぐために行うもっとも重要なステップは、アップグレードに最初にステージング環境でテストすることで変更管理のベスト プラクティスに従うことです。ステージング環境のセットアップ方法の詳細については「Bitbucket Server でステージングのサーバー環境を構築する方法」をご確認ください。
If you still have questions or concerns, please raise a support request at https://support.atlassian.com/ja/
当社のインスタンスでは公開リポジトリを利用していません。必要なアクションはありますか? 安全でしょうか?
Bitbucket Server/DC インスタンスに公開リポジトリがない場合、ユーザーがこの脆弱性を利用するには Bitbucket アカウントが必要になるため、悪用/攻撃のリスクは低くなります。しかしながら、勧告の詳細ページのガイダンスは念のため引き続き適用されます。
ミラーのアップグレードも必要ですか?
この脆弱性は REST API 経由で利用され、ミラーでは既知のすべての危険性を持つエンドポイントはブロックされています。しかしながら、脆弱性のあるコマンド ライン引数のハンドラは引き続きミラーに存在するため、別の方向からの攻撃の可能性があります。このため、ミラーのアップグレードが推奨されます。
アトラシアンはメールの送信先をどのように判断したのですか?
アトラシアンではお客様が関心を示した製品について、すべての重大なセキュリティ勧告のコピーを "アラート" メーリング リストに送信します (Sourcetree を除く)。このリストに登録するには、https://my.atlassian.com/email でメール設定を更新してください。
Bitbucket がすでに攻撃を受けているかどうかを確認することはできますか?
恐縮ながら、お客様の Bitbucket インスタンスが攻撃を受けたかどうかを弊社側で確認することはできません。詳細な調査が必要な場合、内部のセキュリティ チーム、スペシャリスト、セキュリティ フォレンジック機関にご相談ください。
アトラシアンでは、Bitbucket のファイルシステムの完全性を確認することを推奨しています。たとえば、現在の状態のアーティファクトを直近のバックアップと比較することで、予期せぬ差分があるかどうかを確認できます。
セキュリティ侵害はそれぞれ異なり、攻撃されたコンポーネントによっては、攻撃者が痕跡を消し、重要なファイル (syslog、監査ログ、アクセスログなど) を変更しているリスクがあります。
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
はい。Bitbucket Server および Data Center の修正済みバージョンへのアップグレードは、ご利用のインスタンスを CVE-2022-36804 から保護する唯一の方法です。
パッチが動作するかどうかはどのように確認できますか? 当社のセキュリティ チームが修正をテストできるように詳細情報を提供してください。
この問題についての公開チケットで、この問題は API エンドポイント経由の未認証のリモート コード実行の脆弱性であることを共有しています。当社では、脆弱性を持つインスタンスを開示するペイロードを共有することはできませんが、こちらの情報をペネトレーション テスト チームに提供して開始点にしていただければと思います。
多くの詳細情報を共有すると、悪意のある攻撃者がそれを利用し、脆弱性を持つ他の Bitbucket インスタンスへの攻撃方法を開発する可能性があります。