CVE-2022-43782 の FAQ

アトラシアン ナレッジベース

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

全般的な情報

Crowd の脆弱性により、許可リストの IP アドレスから接続する攻撃者は、パスワード チェックを迂回して Crowd アプリケーションとしてアクセスすることができます。これにより、攻撃者は権限が要求される Crowd REST API のエンドポイント (usermanagement パス配下) を呼び出せるようになります。上記で説明しているように、これはリモート アドレス設定における crowd アプリケーションの許可リストで IP アドレスが指定されている場合にのみ悪用できます。この脆弱性を軽減するため、ご利用のインスタンスを以降に記載された "修正済みバージョン" のいずれかにアップグレードすることを推奨します。

このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。

クラウド インスタンスは影響を受けますか?

いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず お客様による対応は不要です。

影響を受ける Crowd バージョンを教えてください。

3.0.0 以降にリリースされたすべての Crowd バージョンが影響を受けます。これは、次のいずれかのバージョンを実行しているすべての新規インストールを意味します。

  • Crowd 3.0.0 - Crowd 3.7.2

  • Crowd 4.0.0 - Crowd 4.4.3

  • Crowd 5.0.0 - Crowd 5.02

新規インストールのみが脆弱性を持ちます。たとえば、バージョン 2.9.1 から 3.0.0 にアップグレード済みの場合、ご利用のインスタンスは影響を受けません。ただしこの場合、バージョン 2.9.1 にあったすべてのデフォルトのリモート アドレスが、バージョン 3.0.0 を実行しているインスタンスに持ち越されます。これは同様に、crowd アプリケーション用のリモート アドレス設定から削除できます。

ユーザー管理のために組み込みの Crowd を利用する他のアトラシアンの Data Center および Server 製品を利用しています。影響を受けますか?

いいえ、ユーザー管理のために組み込みの Crowd を利用する他のアトラシアンの Data Center および Server 製品は影響を受けません

この脆弱性が修正されている Crowd バージョンを教えてください。

Crowd Server でリリース済みの、修正済みバージョンの次の一覧をご確認ください。 



サポート対象バージョン

バグ修正リリース

Crowd 3.0

廃止予定: 修正は提供されていません。バージョン 4.4.4 または 5.0.3 にアップグレードしてください。

Crowd 5.0

5.0.3 以降

Crowd 4.0

4.4.4 以降

この脆弱性を軽減することはできますか?

Crowd をいますぐアップグレードできない場合は一時的な軽減策として、Crowd 製品の [Remote Addresses] タブで Crowd アプリケーションに対応する任意のエントリを削除できます。リモート アドレス設定への移動方法については [こちら|https://confluence.atlassian.com/crowd/specifying-an-application-s-address-or-hostname-25788433.html[ のドキュメントをご確認ください。
注意: ご利用のインスタンスで 3.0.0 よりも前の Crowd バージョンを過去の実行していたことがある場合、Crowd アプリケーションのリモート アドレスのタブには、ローカル ホストに一致するホスト名と IP アドレス (一般には Crowd が <3.0.0 バージョンでインストールされた時点のすべての ipv4 および ipv6 アドレス) の一覧が入力されている可能性があります。29 30 エントリの削除を行ってよいかどうか不明な場合、[Remote Addresses] タブのすべてのエントリを削除する前に、一覧のバックアップ/スクリーンショットを作成します。Crowd が動作するうえで、crowd アプリケーションに記載された IP アドレスはデフォルトで不要です

現在自社で利用しているバージョン用のバグ修正がリリースされていないのはなぜですか?

Crowd バージョン 3.0 は廃止予定であるため、修正は提供されていません。バージョン 4.4.4 または 5.0.3 にアップグレードしてください。

アップグレードで支援が必要です

アップグレードに関連する詳細情報や手順については「Upgrading Crowd」のドキュメントをご確認ください。ここにはすべての情報のほか、アップグレードを成功させるためのポイントが含まれます。
本番環境の停止を防ぐためのもっとも重要な手順として、変更管理のベスト プラクティスに従い、最初にステージング環境でアップグレードをテストすることが挙げられます。アップグレードをテストするために Crowd データをステージング サーバーに移動する方法については「サーバー間で Crowd を移行する」をご確認ください。
ご質問や懸念をお持ちの場合は https://support.atlassian.com/ja/ でサポート リクエストを起票してください。

アトラシアンはメールの送信先をどのように判断したのですか?

アトラシアンはお客様が関心を示した製品について、 すべての重大なセキュリティ勧告のコピーを "アラート" メーリング リストに送信します (Sourcetree を除く)。このリストに登録するには、https://my.atlassian.com/email でメール設定を更新してください。

Crowd の侵害有無を確認することはできますか?

残念ながら、Crowd インスタンスの悪用有無をアトラシアンで確認することはできません。
How do I enable Access Logging for Crowd?」に従って事前にアクセス ログを設定済みの場合、Crowdに接続されている製品以外から発生している "/usermanagement" パスへの呼び出しを絞り込むことができます。Crowd ではデフォルトでアクセス ログは提供されないため、悪用後にアクセス ログをセットアップしても、アクセス ログでその証拠を確認することはできません。
また、Crowd 内の "監査ログ" で Crowd 自身によって行われたアクションを確認することで脆弱性の悪用有無を調査することもできます。監査ログの使い方についてのガイドを提供しています。
詳細な調査については社内のセキュリティ チームやセキュリティ フォレンジックのスペシャリストに依頼することを強く推奨します。

Crowd が 3.x よりも古いバージョンからアップグレードされたかどうかはどのように確認できますか?

Crowd が Crowd 3.x よりも古いバージョンからアップグレードされたものかどうか不明な場合、影響を受けていると見なして軽減策の手順に従うか Crowd の修正済みバージョンにアップグレードしてください。

最終更新日 2022 年 11 月 14 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.