複数の製品のセキュリティ勧告 - リモート コード実行に関する Log4j の脆弱性 - CVE-2021-44228

脆弱性の概要

複数のアトラシアン製品がサードパーティ製の Log4j ライブラリを使っているが、これが CVE-2021-44228 の脆弱性の影響を受ける。

構成、ログ メッセージ、およびパラメーターで使用される Log4j2 <=2.14.1 JNDI 機能が、攻撃者が制御する LDAP や他の JNDI 関連エンドポイントから保護されません。メッセージのルックアップ置換が有効化されているときに、ログ メッセージやログ メッセージのパラメーターを制御できる攻撃者は、LDAP サーバーから読み込んだ任意のコードを実行できます。

クラウド製品への影響

脆弱性の影響を受ける Log4j のバージョンを利用していたすべてのアトラシアンのクラウド製品で、脆弱性が軽減されています。なお、弊社の分析では、これらのシステムにパッチを当てる前の時点で、アトラシアンのシステムや顧客データへの侵害は確認されていません。アトラシアン製品のお客様が脆弱性の影響を受けることはなく、アクションは不要です。

オンプレミス製品への影響

Bitbucket Server および Data Center

Bitbucket Server および Data Center は、製品の前提となる組み込みのソフトウェアである Elasticsearch によって CVE-2021-44228 の脆弱性の影響を受けます。Elastic 社のセキュリティ勧告 ESA-2021-31 によると、Elasticsearch はリモート コード実行の影響は受けませんが、情報漏えいの潜在的な影響を受けます。情報漏えいのリスクを軽減するための操作が必要かどうかを、以降の表でご確認ください。

Bitbucket Server および Data Center のセキュリティ修正

Bitbucket Server および Data Center で CVE-2021-44228 の脆弱性を修復するには、脆弱性の影響を受けない次のバージョンにアップグレードします。

• 6.10.16

• 7.6.12

• 7.14.2

• 7.15.3

• 7.16.3

• 7.17.4

• 7.18.3

• 7.19.1

• 7.21.0

上記バージョンを弊社のダウンロード ページで取得し、Bitbucket Server のアップグレード ガイドに記載された手順を利用してアップグレードを完了します。

バンドル バージョン - 手動での軽減

Bitbucket の更新バージョンをインストールすることができないが、バンドルされた Elasticsearch を利用している場合、Elastic 社のセキュリティ勧告 ESA-2021-31 に従って次の変更を行います。

もっともシンプルな軽減策は、JVM オプション -Dlog4j2.formatMsgNoLookups=true を設定してクラスタの各ノードを再起動することです。
Elasticsearch 5.6.11+、6.4+、および 7.0+ では、これによってリモート コード実行や情報漏えいの攻撃から環境を完全に保護することができます。

ファイル $BITBUCKET_HOME/shared/search/jvm.options の下部に次の行を追加してから Bitbucket を再起動します。

-Dlog4j2.formatMsgNoLookups=true

一部の Bitbucket バージョンに未使用の log4j-core が存在する問題

Bitbucket バージョン 7.12 から 7.19 には、未使用の log4j-core コンポーネントが含まれていました。 Bitbucket ではログ記録に Log4j ではなく Logback を利用しているため、これはリスクにはなりませんが、混乱を防ぐために Log4j コンポーネントを取り除く更新が行われました。

他のすべてのオンプレミス製品

アトラシアンの他のすべてのオンプレミス製品は CVE-2021-44228 による脆弱性の影響を受けません。

一部のオンプレミス製品は、アトラシアンがメンテナンスしている、Log4j の 1.2.17 フォークを使用していますが、これは CVE-2021-44228 の影響を受けません。アトラシアンではこのフォークについて追加の分析を行って類似の脆弱性 (CVE-2021-4104) を新しく確認していますが、これは信頼できるパーティのみが悪用できます。このため、アトラシアンでは他のすべてのオンプレミス製品の深刻度を low とレートしています。特に Log4j 1.x を利用しているアトラシアン製品は、次の非デフォルト構成のすべてが利用されている場合にのみ影響を受けます。 

• アプリケーションの Log4j 構成で JMS Appender が構成されている

• アプリケーションの CLASSPATH に javax.jms API が含まれる

• JMS Appender が、サードパーティへの JNDI ルックアップで構成されている。注: これは、信頼されたユーザーによるアプリケーション構成の変更か、信頼されたコードによるランタイム中のプロパティ設定でのみ行なえます。 

次の製品は、Log4j 1.2.17 の、アトラシアンがメンテナンスしているフォークを使用しています。

• Bamboo Server および Data Center (Bamboo エージェントを含む)

• Confluence Server および Data Center

• Crowd Server および Data Center

• FishEye / Crucible

• Jira Service Management Server および Data Center

• Jira Software Server および Data Center (Jira Core を含む)

Atlassian Marketplace のアプリへの影響

クラウド アプリ

アプリ開発のためにアトラシアンがパートナーと共有している Connect や Forge などのツールは、CVE-2021-44228 の脆弱性の影響を受けません。また、アトラシアンが開発したクラウド アプリで、脆弱性の影響を受けるものはありません。アトラシアンでは引き続き、Marketplace に登録されているサードパーティ製のクラウド アプリを積極的にスキャンおよび確認し、脆弱性の影響を受けるかどうかを確認していきます。現時点で、いくつかのアプリが脆弱性の影響を受けることを確認しています。これからの数日間でスキャンや確認をさらに行って状況を継続的に監視し、弊社でのレビューにギャップがないことを確認していきます。

この状況の深刻度を考慮すると、脆弱性の影響を受けるすべてのアプリが、問題を発見し次第それに適切に対応する必要があります。アトラシアンでは、問題に対応しないアプリは停止し、脆弱性の影響を受けるアプリをインストールしたお客様へのご連絡を行います。

Data Center およびサーバー用のアプリ

アトラシアンでは、弊社が開発したアプリに CVE-2021-44228 の影響を受けるものはないことを確認しています。さらに、弊社では Atlassian Marketplace にあるサードパーティ アプリのスキャンを行い、CVE-2021-44228 の脆弱性の影響を受けるかどうかを確認しました。いくつかのアプリが影響を受けることがわかりましたが、それらのほとんどがすでに対応済みです。アプリ ベンダーが、提示された締切までに脆弱性への対応を行わなかった事例が、2 件ありました。これらのアプリのユーザーを通知が送信し、アプリは Marketplace で非表示にしました。

注意 - Atlassian Marketplace に記載されていないアプリ (例: 他のサードパーティ サイトからインストールされたアプリ) は、アトラシアンによるアクティブなスキャンやレビューの対象外です。このようなアプリについて懸念事項をお持ちの場合はベンダーに直接お問い合わせください。

参考

• Apache Log4j Security Vulnerabilities
• CVE-2021-44228
• Elastic 社のセキュリティ勧告 ESA-2021-31
• BSERV-13087 - Getting issue details... STATUS
• BSERV-13088 - Getting issue details... STATUS

サポート

この勧告に関してご質問や懸念事項をお持ちの場合は、CVE-2021-44228 のよくある質問をご確認いただくか、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。