複数の製品のセキュリティ勧告 - Git のバッファ オーバーフロー - CVE-2022-41903、CVE-2022-23521
要約 | 複数の製品における Git のバッファ オーバーフロー |
---|---|
勧告のリリース日 | 10:00 AM PDT (太平洋標準時、ー7 時間) |
影響を受ける製品 |
Atlassian Cloud のサイトは影響を受けません。 Atlassian Cloud サイトへの修正のデプロイは完了しています。ご利用のアトラシアン サイトが bitbucket.org または atlassian.net ドメイン経由でアクセスしているものの場合、それは Atlassian Cloud サイトです。 |
CVE ID |
脆弱性の概要
この勧告は、複数のアトラシアン製品に影響する、Git における 2 つの重大なセキュリティ脆弱性を取り上げます。
CVE-2022-41903 - git archive
、git log --format
におけるヒープ オーバーフロー
Git のセキュリティ勧告 - CVE-2022-41903
git log
では、--format
指定子で任意形式を利用してコミットを表示できます。この機能は export-subst
gitattributes経由で git archive にも開示されます。
フォーマッティング (例: %<(, %<|(, %>(, >>(, or %><(
) 時にパディング演算子を処理する際に int 型のオーバーフローが発生する可能性があります。このオーバーフローは、コミット フォーマット機構を呼び出すコマンドを実行するユーザーによって直接、あるいは git archive
および export-subst
メカニズム経由で間接的にトリガーすることができます。
int 型のオーバーフローによって任意のヒープ書き込みが発生し、リモート コード実行につながる可能性があります。
CVE-2022-23531 - gitattributes による int 型オーバーフローのパース
Git のセキュリティ勧告 - CVE-2022-23521
gitattributesは、複数のパスに複数の属性を定義できるメカニズムです。このような属性はリポジトリに .gitattributes
ファイルを追加することで定義でき、ここには、パターンに一致するパスに対して設定する一連のファイルパターンや属性が含まれます。
gitattributesのパース時に、大量のパスパターン、単一のパターンに対する大量の属性、あるいは宣言される属性名が大量である場合に、複数の int 型オーバーフローが発生する可能性があります。このようなオーバーフローは、コミット履歴の一部である可能性がある、カスタマイズ済みの .gitattributes
ファイル経由でトリガーできます。
int 型オーバーフローによってヒープの任意の読み取りや書き込みが発生し、リモート コード実行につながる可能性があります。
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
影響を受ける製品
両方の脆弱性について、Git により次の Git バージョンに対するパッチがリリースされています。
>= v2.30.7、v2.31.6、v2.32.5、v2.33.6、v2.34.6、v2.35.6、v2.36.4、v2.37.5、v2.38.3、v2.39.1
詳細については Git の公式のセキュリティ勧告をご確認ください。
Bitbucket Server および Data Center
影響を受けるバージョン
Bitbucket Server および Bitbucket Data Center のすべてのバージョンが影響を受けます。
パッチの推奨
Git 構成 | 推奨事項 |
---|---|
Git をご自身で提供しているお客様 | アトラシアンでは、Git の最新のパッチ済みのサポート対象バージョンへのアップグレードを推奨します。 ご利用の Bitbucket バージョンが Git のパッチ済みバージョンをサポートするかについては「サポート対象プラットフォーム」のページをご確認ください。 Bitbucket Server および Data Center < 7.9 をご利用のお客様は、Git のパッチ済みバージョンをサポートするために Bitbucket の新しいバージョンにアップグレードする必要があります。 ただし、Bitbucket 7.6を実行しているお客様については、Git v2.30.7 が動作することを Bitbucket チームがテストおよび確認済みです。 |
Bitbucket の Docker イメージをご利用のお客様 | Bitbucket のサポート ライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。 イメージを再ダウンロードして最新の変更をプルしてください。 同様に、特定の Bitbucket イメージをハッシュに紐付けているお客様は、対応するイメージ タグに関連付けられた最新のハッシュ バージョンへの更新が必要です。 |
Git for Windows をご利用のお客様 | Bitbucket チームにより、Git v2.39.x のサポートが追加されたバージョンv7.21.9 がリリースされています。 最新のパッチ済みのサポート対象バージョンの Git に更新してください。 現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。 |
Bamboo Server および Data Center
影響を受けるバージョン
すべての Bamboo バージョンが影響を受けます。
パッチの推奨
Git 構成 | 推奨事項 |
---|---|
Git をご自身で提供しているお客様 | アトラシアンでは、Bamboo サーバーとリモート エージェントにおける Git を最新のパッチ済みのサポート対象バージョンに更新することを推奨します。 ご利用の Bamboo バージョンが Git のパッチ済みバージョンをサポートするかについては「サポート対象プラットフォーム」のページをご確認ください。 |
Bamboo の Docker イメージをご利用のお客様 | サポート ライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。 イメージを再ダウンロードして最新の変更をプルしてください。 同様に、特定の Bamboo イメージをハッシュに紐付けているお客様は、対応するイメージ タグに関連付けられた最新のハッシュ バージョンへの更新が必要です。 |
Elastic Bamboo をご利用のお客様 | 今後の Bamboo 9.1.3 リリースのサポート対象リージョンにおいて、Linux および Windows 用のパッチ済みの Git バージョンを含む新しい AMI が用意されています。このリリースを待つことが難しいお客様は、既存のイメージ設定画面で Git を更新する行をイメージのスタートアップ スクリプトに追加するか、公式リリースに先立って AMI をダウンロードおよび利用できます。 |
Git for Windows をご利用のお客様 | Git for Windows の最新バージョンに更新してください。 現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。 |
Fisheye Server
影響を受けるバージョン
すべての Fisheye バージョンが影響を受けます。
パッチの推奨
Git 構成 | 推奨事項 |
---|---|
Git をご自身で提供しているお客様 | アトラシアンでは、Git の最新のパッチ済みのサポート対象バージョンへのアップグレードを推奨します。 ご利用の Fisheye バージョンが Git のパッチ済みバージョンをサポートするかについては「サポート対象プラットフォーム」のページをご確認ください。 |
Fisheye の Docker イメージをご利用のお客様 | サポート ライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。 イメージを再ダウンロードして最新の変更をプルしてください。 同様に、特定の Fisheye イメージをハッシュに紐付けているお客様は、対応するイメージ タグに関連付けられた最新のハッシュ バージョンへの更新が必要です。 |
Git for Windows をご利用のお客様 | Git for Windows の最新バージョンに更新してください。 現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。 |
Crucible Server
影響を受けるバージョン
すべての Crucible バージョンが影響を受けます。
パッチの推奨
Git 構成 | 推奨事項 |
---|---|
Git をご自身で提供しているお客様 | アトラシアンでは、Git の最新のパッチ済みのサポート対象バージョンへのアップグレードを推奨します。 ご利用の Crucible バージョンが Git のパッチ済みバージョンをサポートするかについては「サポート対象プラットフォーム」のページをご確認ください。 |
Crucible の Docker イメージをご利用のお客様 | サポート ライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。 イメージを再ダウンロードして最新の変更をプルしてください。 同様に、特定の Crucible イメージをハッシュに紐付けているお客様は、対応するイメージ タグに関連付けられた最新のハッシュ バージョンへの更新が必要です。 |
Git for Windows をご利用のお客様 | Git for Windows の最新バージョンに更新してください。 現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。 |
Sourcetree
影響を受けるバージョン
Sourcetree for Mac と Windows のすべてのバージョンが脆弱性を持ちます。
修正済みバージョン
現在 Sourcetree チームが、埋め込みの Git バイナリを次の製品リリース バージョンで v2.39.1 に更新する対応に取り組んでいます。
Mac: v4.2.2
Windows: v3.4.12
問題の軽減策
Sourcetree チームが埋め込みの Git バイナリの更新に対応している間、パッチ済みのシステム Git バージョンを利用するように Sourcetreeを切り替えることを推奨します。
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。
参考
アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |