複数の製品のセキュリティ勧告 - リモート コード実行に関する Log4j の脆弱性 - CVE-2021-44228

要約

CVE-2021-44228 - Log4j vulnerable to remote code execution

勧告のリリース日

 23:45 UTC (世界標準時、+0 時間)

CVE ID

CVE-2021-44228

この勧告の内容は初回の公開時から更新されています。

初回の公開時からの更新内容

  20:45 UTC (世界標準時、+0 時間)

Updated the Bitbucket Server & Data Center section to note the availability of versions 7.21.0 and 6.10.17.

  15:30 UTC (世界標準時、+0 時間)

「Atlassian Marketplace アプリへの影響」を更新し、Atlassian Marketplace で配布されている Data Center およびサーバー アプリについての弊社の分析結果の追加情報を含めました。

  04:00 UTC (世界標準時、+0 時間)

Bitbucket の一部のバージョンで、CVE-2021-44228 に対するパッチが適用された外部の Elasticsearch インスタンスの利用がサポートされるようになりました。

この変更を反映し、Elasticsearch のアップグレードについての追加のガイダンスを提供するように、「Elasicsearchの外部バージョン」配下の「アクション」列が更新されました。

詳細については「オンプレミス製品への影響」セクションをご確認ください。

 03:30 UTC (世界標準時、+0 時間)

この勧告の公開以降、アトラシアンでは次のことを確認しています。

  • Bitbucket Server および Data Center で利用される、製品の前提となるソフトウェアである Elasticsearch が CVE-2021-44228 の脆弱性の影響を受ける可能性があること

  • 一部の Bitbucket バージョンに未使用の log4j-core コンポーネントが含まれていたこと (最新の更新で削除済み)

影響を受けるかどうかの確認や、影響を受ける環境の保護方法については、以降の「オンプレミス製品への影響」セクションをご確認ください。

脆弱性の概要

複数のアトラシアン製品がサードパーティ製の Log4j ライブラリを使っているが、これが CVE-2021-44228 の脆弱性の影響を受ける。

構成、ログ メッセージ、およびパラメーターで使用される Log4j2 <=2.14.1 JNDI 機能が、攻撃者が制御する LDAP や他の JNDI 関連エンドポイントから保護されません。メッセージのルックアップ置換が有効化されているときに、ログ メッセージやログ メッセージのパラメーターを制御できる攻撃者は、LDAP サーバーから読み込んだ任意のコードを実行できます。

クラウド製品への影響

脆弱性の影響を受ける Log4j のバージョンを利用していたすべてのアトラシアンのクラウド製品で、脆弱性が軽減されています。なお、弊社の分析では、これらのシステムにパッチを当てる前の時点で、アトラシアンのシステムや顧客データへの侵害は確認されていません。アトラシアン製品のお客様が脆弱性の影響を受けることはなく、アクションは不要です。

オンプレミス製品への影響

Bitbucket Server および Data Center

Bitbucket Server および Data Center は、製品の前提となる組み込みのソフトウェアである Elasticsearch によって CVE-2021-44228 の脆弱性の影響を受けます。Elastic 社のセキュリティ勧告 ESA-2021-31 によると、Elasticsearch はリモート コード実行の影響は受けませんが、情報漏えいの潜在的な影響を受けます。情報漏えいのリスクを軽減するための操作が必要かどうかを、以降の表でご確認ください。

バージョン

脆弱性の基準

アクション

バンドルされた Elasticsearch バージョン

(ご自身で Elasticsearch の別インスタンスをセットアップしていない)

よりも前にリリースされたすべての Bitbucket バージョン:

  • 6.10.16 よりも前のすべてのバージョン

  • 7.x < 7.6.12

  • 7.7.0 以降、7.14.2 未満のすべてのバージョン

  • 7.15.x < 7.15.3

  • 7.16.x < 7.16.3

  • 7.17.x < 7.17.4

  • 7.18.x < 7.18.3

  • 7.19

Elastic 社のセキュリティ勧告 ESA-2021-31 によると、リモート コード実行の可能性は軽減されていますが、引き続き情報漏えいの可能性があります。

Option 1: Upgrade Bitbucket to a version that bundles a non-vulnerable search engine

Bitbucket のアップグレード
  • Upgrade to Bitbucket 7.21.0 (or later) which bundles Opensearch 1.2.4 (as noted in the release notes, this will result in a full search re-index); or
  • Upgrade to Bitbucket 6.10.17 (or any later 6.10.x version) which bundles Elasticsearch 6.8.22


Option 2: Mitigation via system property

問題の軽減策

Linux/MacOS の場合

  • Elasticsearch 7.10 以降のバージョンでのライセンス形態の変更により、アトラシアンでは組み込みの Elasticsearch の更新バージョンをリリースすることはできません

  • 代わりに、log4j2.formatMsgNoLookups=true フラグによる軽減が適用されている、Bitbucket の更新バージョン (後述) をリリースしました

  • Bitbucket を更新することができない場合、log4j2.formatMsgNoLookups=true フラグを手動で適用する必要があります (手順は後述)

Windows の場合

  • お客様は log4j2.formatMsgNoLookups=true フラグを手動で適用する必要があります (手順は後述)

Elasticsearch の外部バージョン

Bitbucket にバンドルされている Elasticsearch は、クラスタ構成で実行する際には利用できません。Data Center クラスタを利用するお客様は、Bitbucket Data Center とは別に、独自の Elasticsearch 環境をインストールして管理する必要があります。Data Center 版をご利用のお客様は、CVE-2021-44228 の軽減に必要なアクションについて、Elastic 社のセキュリティ勧告 ESA-2021-31 を確認する必要があります。

お客様には、Elasic 社の「security advisory ESA-2021-31」ガイダンスに従って Elasticseach のデプロイメントを保護することをおすすめします。ただし、弊社側で次のような注意事項があります。

  • Elasticsearch をアップグレードする前に、ご利用の Bitbucket バージョンで新しいバージョンの Elasticsearch がサポートされていることをご確認ください。Elasticsearch のサポート対象バージョンは、「サポート対象のプラットフォーム」ページで、ご利用の Bitbucket バージョンについてお探しいただけます。
  • ご利用の Bitbucket バージョンで Elasticsearch の修正済みのバージョンがサポートされていない場合、Elastic 社によるセキュリティ勧告 ESA-2021-31 に従って代替の軽減策を適用することをおすすめします。


Bitbucket Server および Data Center のセキュリティ修正

Bitbucket Server および Data Center で CVE-2021-44228 の脆弱性を修復するには、脆弱性の影響を受けない次のバージョンにアップグレードします。

  • 6.10.16

  • 7.6.12

  • 7.14.2

  • 7.15.3

  • 7.16.3

  • 7.17.4

  • 7.18.3

  • 7.19.1

  • 7.21.0

上記バージョンを弊社のダウンロード ページで取得し、Bitbucket Server のアップグレード ガイドに記載された手順を利用してアップグレードを完了します。

バンドル バージョン - 手動での軽減

Bitbucket の更新バージョンをインストールすることができないが、バンドルされた Elasticsearch を利用している場合、Elastic 社のセキュリティ勧告 ESA-2021-31 に従って次の変更を行います。

もっともシンプルな軽減策は、JVM オプション -Dlog4j2.formatMsgNoLookups=true を設定してクラスタの各ノードを再起動することです。
Elasticsearch 5.6.11+、6.4+、および 7.0+ では、これによってリモート コード実行や情報漏えいの攻撃から環境を完全に保護することができます。

ファイル $BITBUCKET_HOME/shared/search/jvm.options の下部に次の行を追加してから Bitbucket を再起動します。

-Dlog4j2.formatMsgNoLookups=true

一部の Bitbucket バージョンに未使用の log4j-core が存在する問題

Bitbucket バージョン 7.12 から 7.19 には、未使用の log4j-core コンポーネントが含まれていました。 Bitbucket ではログ記録に Log4j ではなく Logback を利用しているため、これはリスクにはなりませんが、混乱を防ぐために Log4j コンポーネントを取り除く更新が行われました。

他のすべてのオンプレミス製品

アトラシアンの他のすべてのオンプレミス製品は CVE-2021-44228 による脆弱性の影響を受けません。

一部のオンプレミス製品は、アトラシアンがメンテナンスしている、Log4j の 1.2.17 フォークを使用していますが、これは CVE-2021-44228 の影響を受けません。アトラシアンではこのフォークについて追加の分析を行って類似の脆弱性 (CVE-2021-4104) を新しく確認していますが、これは信頼できるパーティのみが悪用できます。このため、アトラシアンでは他のすべてのオンプレミス製品の深刻度low とレートしています。特に Log4j 1.x を利用しているアトラシアン製品は、次の非デフォルト構成のすべてが利用されている場合にのみ影響を受けます。 

  • アプリケーションの Log4j 構成で JMS Appender が構成されている

  • アプリケーションの CLASSPATHjavax.jms API が含まれる

  • JMS Appender が、サードパーティへの JNDI ルックアップで構成されている。注: これは、信頼されたユーザーによるアプリケーション構成の変更か、信頼されたコードによるランタイム中のプロパティ設定でのみ行なえます。 

次の製品は、Log4j 1.2.17 の、アトラシアンがメンテナンスしているフォークを使用しています。

  • Bamboo Server および Data Center (Bamboo エージェントを含む)

  • Confluence Server および Data Center

  • Crowd Server および Data Center

  • FishEye / Crucible

  • Jira Service Management Server および Data Center

  • Jira Software Server および Data Center (Jira Core を含む)

Atlassian Marketplace のアプリへの影響

クラウド アプリ

アプリ開発のためにアトラシアンがパートナーと共有している ConnectForge などのツールは、CVE-2021-44228 の脆弱性の影響を受けません。また、アトラシアンが開発したクラウド アプリで、脆弱性の影響を受けるものはありません。アトラシアンでは引き続き、Marketplace に登録されているサードパーティ製のクラウド アプリを積極的にスキャンおよび確認し、脆弱性の影響を受けるかどうかを確認していきます。現時点で、いくつかのアプリが脆弱性の影響を受けることを確認しています。これからの数日間でスキャンや確認をさらに行って状況を継続的に監視し、弊社でのレビューにギャップがないことを確認していきます。

この状況の深刻度を考慮すると、脆弱性の影響を受けるすべてのアプリが、問題を発見し次第それに適切に対応する必要があります。アトラシアンでは、問題に対応しないアプリは停止し、脆弱性の影響を受けるアプリをインストールしたお客様へのご連絡を行います。

Data Center およびサーバー用のアプリ

アトラシアンでは、弊社が開発したアプリに CVE-2021-44228 の影響を受けるものはないことを確認しています。さらに、弊社では Atlassian Marketplace にあるサードパーティ アプリのスキャンを行い、CVE-2021-44228 の脆弱性の影響を受けるかどうかを確認しました。いくつかのアプリが影響を受けることがわかりましたが、それらのほとんどがすでに対応済みです。アプリ ベンダーが、提示された締切までに脆弱性への対応を行わなかった事例が、2 件ありました。これらのアプリのユーザーを通知が送信し、アプリは Marketplace で非表示にしました。

注意 - Atlassian Marketplace に記載されていないアプリ (例: 他のサードパーティ サイトからインストールされたアプリ) は、アトラシアンによるアクティブなスキャンやレビューの対象外です。このようなアプリについて懸念事項をお持ちの場合はベンダーに直接お問い合わせください。

参考

サポート

この勧告に関してご質問や懸念事項をお持ちの場合は、CVE-2021-44228 のよくある質問をご確認いただくか、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。

Last modified on Mar 2, 2022

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.