複数の製品のセキュリティ勧告 - Git のバッファ オーバーフロー - CVE-2022-41903、CVE-2022-23521

セキュリティ アドバイザリーおよびセキュリティ情報

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

要約

複数の製品における Git のバッファ オーバーフロー

勧告のリリース日

 10:00 AM PDT (太平洋標準時、ー7 時間)

影響を受ける製品

  • Bitbucket Server および Data Center

  • Bamboo Server および Data Center

  • Fisheye

  • Crucible

  • Sourcetree


Atlassian Cloud のサイトは影響を受けません。

Atlassian Cloud サイトへの修正のデプロイは完了しています。ご利用のアトラシアン サイトが bitbucket.org または atlassian.net ドメイン経由でアクセスしているものの場合、それは Atlassian Cloud サイトです。

CVE ID

CVE-2022-41903
CVE-2022-23521

脆弱性の概要

この勧告は、複数のアトラシアン製品に影響する、Git における 2 つの重大なセキュリティ脆弱性を取り上げます。

CVE-2022-41903 - git archivegit log --format におけるヒープ オーバーフロー

Git のセキュリティ勧告 - CVE-2022-41903

git log では、--format 指定子で任意形式を利用してコミットを表示できます。この機能は export-subst gitattributes経由で git archive にも開示されます。

フォーマッティング (例: %<(, %<|(, %>(, >>(, or %><() 時にパディング演算子を処理する際に int 型のオーバーフローが発生する可能性があります。このオーバーフローは、コミット フォーマット機構を呼び出すコマンドを実行するユーザーによって直接、あるいは git archive および export-subst メカニズム経由で間接的にトリガーすることができます。

int 型のオーバーフローによって任意のヒープ書き込みが発生し、リモート コード実行につながる可能性があります。

CVE-2022-23531 - gitattributes による int 型オーバーフローのパース

Git のセキュリティ勧告 - CVE-2022-23521

gitattributesは、複数のパスに複数の属性を定義できるメカニズムです。このような属性はリポジトリに .gitattributesファイルを追加することで定義でき、ここには、パターンに一致するパスに対して設定する一連のファイルパターンや属性が含まれます。

gitattributesのパース時に、大量のパスパターン、単一のパターンに対する大量の属性、あるいは宣言される属性名が大量である場合に、複数の int 型オーバーフローが発生する可能性があります。このようなオーバーフローは、コミット履歴の一部である可能性がある、カスタマイズ済みの .gitattributes ファイル経由でトリガーできます。

int 型オーバーフローによってヒープの任意の読み取りや書き込みが発生し、リモート コード実行につながる可能性があります。

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

影響を受ける製品

両方の脆弱性について、Git により次の Git バージョンに対するパッチがリリースされています。

  • >= v2.30.7、v2.31.6、v2.32.5、v2.33.6、v2.34.6、v2.35.6、v2.36.4、v2.37.5、v2.38.3、v2.39.1

詳細については Git の公式のセキュリティ勧告をご確認ください。

Bitbucket Server および Data Center

影響を受けるバージョン

Bitbucket Server および Bitbucket Data Center のすべてのバージョンが影響を受けます。

パッチの推奨

Git 構成

推奨事項

Git をご自身で提供しているお客様

アトラシアンでは、Git の最新のパッチ済みのサポート対象バージョンへのアップグレードを推奨します。

ご利用の Bitbucket バージョンが Git のパッチ済みバージョンをサポートするかについては「サポート対象プラットフォーム」のページをご確認ください。

Bitbucket Server および Data Center < 7.9 をご利用のお客様は、Git のパッチ済みバージョンをサポートするために Bitbucket の新しいバージョンにアップグレードする必要があります。

ただし、Bitbucket 7.6を実行しているお客様については、Git v2.30.7 が動作することを Bitbucket チームがテストおよび確認済みです。

Bitbucket の Docker イメージをご利用のお客様

Bitbucket のサポート ライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。

イメージを再ダウンロードして最新の変更をプルしてください。

同様に、特定の Bitbucket イメージをハッシュに紐付けているお客様は、対応するイメージ タグに関連付けられた最新のハッシュ バージョンへの更新が必要です。

Git for Windows をご利用のお客様

Bitbucket チームにより、Git v2.39.x のサポートが追加されたバージョンv7.21.9 がリリースされています。

最新のパッチ済みのサポート対象バージョンの Git に更新してください。

現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。

Bamboo Server および Data Center

影響を受けるバージョン

すべての Bamboo バージョンが影響を受けます。

パッチの推奨

Git 構成

推奨事項

Git をご自身で提供しているお客様

アトラシアンでは、Bamboo サーバーとリモート エージェントにおける Git を最新のパッチ済みのサポート対象バージョンに更新することを推奨します。

ご利用の Bamboo バージョンが Git のパッチ済みバージョンをサポートするかについては「サポート対象プラットフォーム」のページをご確認ください。

Bamboo の Docker イメージをご利用のお客様

サポート ライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。

イメージを再ダウンロードして最新の変更をプルしてください。

同様に、特定の Bamboo イメージをハッシュに紐付けているお客様は、対応するイメージ タグに関連付けられた最新のハッシュ バージョンへの更新が必要です。

Elastic Bamboo をご利用のお客様

今後の Bamboo 9.1.3 リリースのサポート対象リージョンにおいて、Linux および Windows 用のパッチ済みの Git バージョンを含む新しい AMI が用意されています。このリリースを待つことが難しいお客様は、既存のイメージ設定画面で Git を更新する行をイメージのスタートアップ スクリプトに追加するか、公式リリースに先立って AMI をダウンロードおよび利用できます

Git for Windows をご利用のお客様

Git for Windows の最新バージョンに更新してください。

現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。

Fisheye Server

影響を受けるバージョン

すべての Fisheye バージョンが影響を受けます。

パッチの推奨

Git 構成

推奨事項

Git をご自身で提供しているお客様

アトラシアンでは、Git の最新のパッチ済みのサポート対象バージョンへのアップグレードを推奨します。

ご利用の Fisheye バージョンが Git のパッチ済みバージョンをサポートするかについては「サポート対象プラットフォーム」のページをご確認ください。

Fisheye の Docker イメージをご利用のお客様

サポート ライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。

イメージを再ダウンロードして最新の変更をプルしてください。

同様に、特定の Fisheye イメージをハッシュに紐付けているお客様は、対応するイメージ タグに関連付けられた最新のハッシュ バージョンへの更新が必要です。

Git for Windows をご利用のお客様

Git for Windows の最新バージョンに更新してください。

現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。

Crucible Server

影響を受けるバージョン

すべての Crucible バージョンが影響を受けます。

パッチの推奨

Git 構成

推奨事項

Git をご自身で提供しているお客様

アトラシアンでは、Git の最新のパッチ済みのサポート対象バージョンへのアップグレードを推奨します。

ご利用の Crucible バージョンが Git のパッチ済みバージョンをサポートするかについては「サポート対象プラットフォーム」のページをご確認ください。

Crucible の Docker イメージをご利用のお客様

サポート ライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。

イメージを再ダウンロードして最新の変更をプルしてください。

同様に、特定の Crucible イメージをハッシュに紐付けているお客様は、対応するイメージ タグに関連付けられた最新のハッシュ バージョンへの更新が必要です。

Git for Windows をご利用のお客様

Git for Windows の最新バージョンに更新してください。

現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。

Sourcetree

影響を受けるバージョン

Sourcetree for Mac と Windows のすべてのバージョンが脆弱性を持ちます。

修正済みバージョン

現在 Sourcetree チームが、埋め込みの Git バイナリを次の製品リリース バージョンで v2.39.1 に更新する対応に取り組んでいます。

  • Mac: v4.2.2

  • Windows: v3.4.12

問題の軽減策

Sourcetree チームが埋め込みの Git バイナリの更新に対応している間、パッチ済みのシステム Git バージョンを利用するように Sourcetreeを切り替えることを推奨します

サポート

このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。

参考

セキュリティ バグの修正ポリシー

アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベル

アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。

サポート終了ポリシー

 サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 

最終更新日: 2023 年 2 月 17 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.