複数の製品向けのセキュリティ勧告 - レンダリングされない Unicode の双方向オーバーライド文字 - CVE-2021-42574
要約 | CVE-2021-42574 - 複数の製品における、レンダリングされない Unicode の双方向オーバーライド文字 |
|---|---|
勧告のリリース日 | 2021 年 11 月 1 日 午前 12 時 UTC |
製品 |
|
影響を受けるバージョン | Bamboo Server および Data Center
Bitbucket Server および Data Center
Confluence Server および Data Center
Crucible
Fisheye
Jira Service Management Server および Data Center
Insight Asset Management (Jira Service Management の Marketplace アプリ)
Jira Software Server and Data Center (Jira Core を含む)
|
修正済みバージョン | Bamboo Server および Data Center
Bitbucket Server および Data Center
Confluence Server および Data Center
Crucible
Fisheye
Jira Service Management Server および Data Center
Insight Asset Management (Jira Service Management の Marketplace アプリ)
Jira Software Server and Data Center (Jira Core を含む)
|
CVE ID |
脆弱性の概要
この勧告は、次のような複数の製品バージョンで確認された、高い重要度のセキュリティ脆弱性を開示します。
Bamboo Server および Data Center
8.0.4 よりも前のすべてのバージョン
Bitbucket Server および Data Center
6.10.14 よりも前のすべてのバージョン
7.0.0 と 7.5.2 の間のすべてのバージョン (これらのバージョンを含む)
7.6.10 よりも前のすべての 7.6.x LTS バージョン
7.7.0 と 7.16.1 の間のすべてのバージョン (これらのバージョンを含む)
7.17.1 よりも前のすべての 7.17.x LTS バージョン
Confluence Server および Data Center
7.4.13 よりも前のすべてのバージョン
7.5.0 と 7.12.5 の間のすべてのバージョン (これらのバージョンを含む)
7.13.2 よりも前のすべての 7.13.x LTS バージョン
バージョン 7.14.0
Crucible
4.8.8 よりも前のすべてのバージョン
Fisheye
4.8.8 よりも前のすべてのバージョン
Jira Service Management Server および Data Center
4.13.13 よりも前のすべてのバージョン
4.14.0 と 4.19.1 の間のすべてのバージョン (これらのバージョンを含む)
4.20.1 よりも前のすべての 4.20.x LTS バージョン
Insight Asset Management (Jira Service Management の Marketplace アプリ)
8.9.4 よりも前のすべてのバージョン
Jira Software Server および Data Center (Jira Core を含む)
8.13.13 よりも前のすべてのバージョン
8.14.0 と 8.19.1 の間のすべてのバージョン (これらのバージョンを含む)
8.20.1 よりも前のすべての 8.20.x LTS バージョン
この脆弱性による Atlassian Cloud サイトへの影響については、次のページをご確認ください。CVE-2021-42574 - Unrendered unicode bidirectional override characters in Cloud sites
ご利用のアトラシアン サイトが atlassian.net ドメイン経由でアクセスされている場合、それは Atlassian Cloud サイトです。
上記の表の "修正済みバージョン" に記載されたバージョンにアップグレード済みのお客様は、この脆弱性の影響を受けません。
上記の表の "影響を受けるバージョン" に記載されたバージョンをダウンロードおよびインストールしているお客様は、この脆弱性を修正するためにインストールを即座にアップグレードする必要があります。
CVE-2021-42574 - Unicode bidirectional override character trojan source attack
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを高として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
説明
Unicode の双方向オーバーライド文字として知られる特殊文字が一部のアプリケーションでレンダリングあるいは表示されない、複数のアトラシアン製品に影響する脆弱性が特定されました。これらの特殊文字は一般にはブラウザまたはコード エディタで表示されませんが、コンパイラやインタプリタで処理されたときにソース コードの意味合いに影響する可能性があります。
謝辞
この問題は、University of Cambridge の Nicholas Boucher および Ross Anderson によって発見および報告されました。詳細は CVE-2021-42574 で開示されています。
修正
弊社ではこの問題に対応するために次の対応を行いました。
この問題の修正を含む、Bamboo Server および Data Center バージョン 8.0.4 のリリース。
この問題の修正を含む、Bitbucket Server および Data Center バージョン 6.10.14、7.6.10、7.17.1 のリリース。
この問題の修正を含む、Confluence Server および Data Center バージョン 7.4.13、7.13.2、7.14.1 のリリース。
この問題の修正を含む、Crucible バージョン 4.8.8 のリリース。
この問題の修正を含む、Fisheye バージョン 4.8.8 のリリース。
この問題の修正を含む、Insight Asset Management Marketplace アプリ バージョン 8.9.4 のリリース。
この問題の修正を含む、Jira Service Management Server および Data Center バージョン 4.13.13、4.20.1 のリリース。
この問題の修正を含む、Jira Software Server および Data Center バージョン 8.13.13、8.20.1 のリリース。
必要なアクション
アトラシアンでは、最新バージョンにアップグレードすることをおすすめします。最新バージョンの完全な説明については、対象の製品のリリース ノートをご確認ください。
ご利用の製品の最新バージョンはダウンロード センターからダウンロードできます。
下記で推奨されるバージョン以降にアップグレードしてください。
製品 | 操作 |
|---|---|
Bamboo Server および Data Center | 8.0.4 以降にアップグレード |
Bitbucket Server および Data Center | 7.17.1 LTS 以降にアップグレード 最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。 |
Confluence Server および Data Center | 7.13.2 LTS 以降の 7.13.x バージョンにアップグレード 最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。 7.14.0 を実行している場合は 7.14.1 以降にアップグレード |
Crucible | 4.8.8 以降にアップグレード |
Fisheye | 4.8.8 以降にアップグレード |
Insight Asset Management アプリ | アプリを 8.9.4 以降にアップグレード これは、Insight Asset Management を Marketplace からインストールしている場合にのみ必要です。 |
Jira Software Server および Data Center (Jira Core を含む) | 8.20.1 LTS 以降にアップグレード 最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。 |
Jira Service Management Server および Data Center | 4.20.1 LTS 以降にアップグレード 最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。 |
問題の軽減策
この修正では、プル リクエスト、コード スニペット、コード ブロックなどの、コードが表示される多数の画面が、Unibode の双方向文字がハイライトされるように更新しています。ユーザーはツールチップを使用して、文字の役割や、実行時のコードの解釈方法を確認できます。
Confluence Data Center のコード ブロックを含むページを表示しているときの、メッセージの例です。
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念事項をお持ちの場合は、CVE-2021-42574 のよくある質問をご確認いただくか、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。
参考
| セキュリティ バグ修正ポリシー | アトラシアンの新しいポリシーに記載のとおり、高度なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |