複数の製品向けのセキュリティ勧告 - CVE-2022-26136、CVE-2022-26137

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

要約

複数の製品におけるサーブレット フィルターのディスパッチャーの脆弱性

勧告のリリース日

午前 10:00 PDT (太平洋標準時、-7 時間)

影響を受ける製品

  • Bamboo Server および Data Center

  • Bitbucket Server および Data Center

  • Confluence Server および Data Center

  • Crowd Server および Data Center

  • Fisheye および Crucible

  • Jira Server および Data Center

  • Jira Service Management Server および Data Center

Atlassian Cloud のサイトは影響を受けません。

Atlassian Cloud サイトへの修正のデプロイは完了しています。ご利用のアトラシアン サイトが bitbucket.org または atlassian.net ドメイン経由でアクセスしているものの場合、それは Atlassian Cloud サイトです。

CVE ID

CVE-2022-26136
CVE-2022-26137

脆弱性の概要

サーブレット フィルターの概要

サーブレット フィルターとは、クライアント リクエストがバックエンドのリソースに送信される前に HTTP リクエストの取得や処理を行う Java コードです。これらは、バックエンドからの HTTP レスポンスがクライアントに送信される前に HTTP リクエストの取得や処理を行うためにも利用されます。一部のサーブレット フィルターは、ログ、監査、認証、認可などのセキュリティ メカニズムを提供します。

任意のサーブレット フィルターのバイパス (CVE-2022-26136)

A vulnerability in multiple Atlassian products allows a remote, unauthenticated attacker to bypass Servlet Filters used by first and third party apps. The impact depends on which filters are used by each app, and how the filters are used. Atlassian has not exhaustively enumerated all potential consequences of this vulnerability, and has only confirmed the attacks listed below. Please note that Atlassian has released updates that fix the root cause for all products affected by this vulnerability, including any first or third party apps installed on each product.

認証のバイパス。特別な方法で作成された HTTP リクエストを送信することで、サードパーティ製アプリで認証を強制するために利用されるカスタムのサーブレット フィルターをバイパスできます。未認証のリモートの攻撃者がこれを利用してサードパーティ製アプリで利用される認証をバイパスすることができます。なお、アトラシアンではこの攻撃が可能であることを確認してはいますが、影響を受けるすべてのアプリの一覧を決定したわけではありません

クロスサイト スクリプティング (XSS)。特別な方法で作成された HTTP リクエストを送信することで、アトラシアン ガジェットの正当性を検証するために利用されるサーブレット フィルターをバイパスし、結果的にクロスサイト スクリプティング (XSS) を行うことができます。攻撃者はユーザーに悪意のある URL のリクエストを促し、それによってユーザーのブラウザで任意の Javascript を利用することができます。

追加のサーブレット フィルターの呼び出し (CVE-2022-26137)

複数のアトラシアン製品に存在する脆弱性により、アプリケーションでリクエストやレスポンスが処理される際に、未認証のリモートの攻撃者が追加のサーブレット フィルターを呼び出すようにすることができます。アトラシアンはこの脆弱性に関連して、現在確認されている唯一のセキュリティ問題である次の問題を確認および修正しています。

オリジン間リソース共有 (CORS) のバイパス。特別な方法で作成された HTTP リクエストを送信することで、CORS リクエストへの応答に利用されるサーブレット フィルターを呼び出し、結果的に CORS バイパスを行うことができます。攻撃者はユーザーに悪意のある URL のリクエストを促し、脆弱性を持つアプリケーションにユーザーの権限を利用してアクセスできます。

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

影響を受けるバージョン

製品

影響を受けるバージョン

Bamboo Server および Data Center

  • バージョン < 7.2.9

  • 8.0.x < 8.0.9

  • 8.1.x < 8.1.8

  • 8.2.x < 8.2.4

(warning) 7.2.9 is not affected, but it contains an unrelated non-security bug. Refer to the fixed versions section below for more information.

Bitbucket Server および Data Center

  • バージョン < 7.6.16

  • 7.7.x から 7.16.x までのすべてのバージョン

  • 7.17.x < 7.17.8

  • 7.18.x のすべてのバージョン

  • 7.19.x < 7.19.5

  • 7.20.x < 7.20.2

  • 7.21.x < 7.21.2

  • 8.0.0

  • 8.1.0

Confluence Server および Data Center

  • バージョン < 7.4.17

  • 7.5.x から 7.12.x までのすべてのバージョン

  • 7.13.x < 7.13.7

  • 7.14.x < 7.14.3

  • 7.15.x < 7.15.2

  • 7.16.x < 7.16.4

  • 7.17.x < 7.17.4

  • 7.18.0

Crowd Server および Data Center

  • バージョン < 4.3.8

  • 4.4.x < 4.4.2

  • 5.0.0

Crucible

  • バージョン < 4.8.10

Fisheye

  • バージョン < 4.8.10

Jira Server および Data Center

  • バージョン < 8.13.22

  • 8.14.x から 8.19.x までのすべてのバージョン

  • 8.20.x < 8.20.10

  • 8.21.x のすべてのバージョン

  • 8.22.x < 8.22.4
    (warning) 8.22.4 は影響を受けませんが、本件に関連しない非セキュリティ バグを含みます。詳細については以降の修正済みバージョンのセクションをご確認ください。

Jira Service Management Server および Data Center

  • バージョン < 4.13.22

  • 4.14.x から 4.19.x までのすべてのバージョン

  • 4.20.x < 4.20.10

  • 4.21.x のすべてのバージョン

  • 4.22.x < 4.22.4

修正済みバージョン

製品

修正済みバージョン

Bamboo Server および Data Center

  • 7.2.x >= 7.2.9

  • 8.0.x >= 8.0.9

  • 8.1.x >= 8.1.8

  • 8.2.x >= 8.2.4

  • バージョン >= 9.0.0

Bitbucket Server および Data Center

  • 7.6.x >= 7.6.16 (LTS)

  • 7.17.x >= 7.17.8 (LTS)

  • 7.19.x >= 7.19.5

  • 7.20.x >= 7.20.2

  • 7.21.x >= 7.21.2 (LTS)

  • 8.0.x >= 8.0.1

  • 8.1.x >= 8.1.1

  • バージョン >= 8.2.0

Confluence Server および Data Center

  • 7.4.x >= 7.4.17 (LTS)

  • 7.13.x >= 7.13.7 (LTS)

  • 7.14.x >= 7.14.3

  • 7.15.x >= 7.15.2

  • 7.16.x >= 7.16.4

  • 7.17.x >= 7.17.4

  • 7.18.x >= 7.18.1

Crowd Server および Data Center

  • 4.3.x >= 4.3.8

  • 4.4.x >= 4.4.2

  • バージョン >= 5.0.1

Crucible

  • バージョン >= 4.8.10

Fisheye

  • バージョン >= 4.8.10

Jira Server および Data Center

Jira Service Management Server および Data Center

  • 4.13.x >= 4.13.22 (LTS)

  • 4.20.x >= 4.20.10 (LTS)

  • 4.22.x >= 4.22.4
    (warning) 4.22.5 にはセキュリティ脆弱性が含まれます。アトラシアンでは最新バージョン (現在 4.22.6) へのアップグレードを推奨しています。

  • バージョン >= 5.0.0

リリース ノート

アトラシアンでは、最新バージョンにアップグレードすることをおすすめします。最新バージョンの完全な説明については、対象の製品のリリース ノートをご確認ください。

ダウンロード

回避策

既知の回避策はありません。この脆弱性を修正するには、影響を受ける個々の製品インストールを上記の修正済みバージョンに更新してください。

謝辞

この脆弱性を発見および報告した Viettel Cyber Security の Khoadha に感謝します。

よくある質問

よくある質問については、CVE-2022-26136/CVE-2022-26137 の FAQ を更新します。

関連チケット

サポート

このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

参考

セキュリティ バグ修正ポリシー

アトラシアンの新しいポリシーに記載のとおり、高度なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティに関連する問題のセキュリティ レベルについて

アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。

アトラシアン サポート終了 (EOL) ポリシー

 サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 

最終更新日 2022 年 7 月 25 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.