複数の製品向けのセキュリティ勧告 - レンダリングされない Unicode の双方向オーバーライド文字 - CVE-2021-42574

要約

CVE-2021-42574 - 複数の製品における、レンダリングされない Unicode の双方向オーバーライド文字

勧告のリリース日

 2021 年 11 月 1 日 午前 12 時 UTC

製品

  • Bamboo Server および Data Center

  • Bitbucket Server および Data Center

  • Confluence Server および Data Center

  • Crucible

  • Fisheye

  • Jira Service Management Server および Data Center (および Insight Asset Management アプリ)

  • Jira Software Server および Data Center (Jira Core を含む)

影響を受けるバージョン

Bamboo Server および Data Center

  • 8.0.4 よりも前のすべてのバージョン

Bitbucket Server および Data Center

  • 6.10.14 よりも前のすべてのバージョン

  • 7.0.0 と 7.5.2 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.6.10 よりも前のすべての 7.6.x LTS バージョン

  • 7.7.0 と 7.16.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.17.1 よりも前のすべての 7.17.x LTS バージョン

Confluence Server および Data Center

  • 7.4.13 よりも前のすべてのバージョン

  • 7.5.0 と 7.12.5 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.13.2 よりも前のすべての 7.13.x LTS バージョン

  • バージョン 7.14.0

Crucible

  • 4.8.8 よりも前のすべてのバージョン

Fisheye

  • 4.8.8 よりも前のすべてのバージョン

Jira Service Management Server および Data Center

  • 4.13.13 よりも前のすべてのバージョン

  • 4.14.0 と 4.19.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 4.20.1 よりも前のすべての 4.20.x LTS バージョン

Insight Asset Management (Jira Service Management の Marketplace アプリ)

  • 8.9.4 よりも前のすべてのバージョン

Jira Software Server and Data Center (Jira Core を含む)

  • 8.13.13 よりも前のすべてのバージョン

  • 8.14.0 と 8.19.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 8.20.1 よりも前のすべての 8.20.x LTS バージョン

修正済みバージョン

Bamboo Server および Data Center

  • 8.0.4

Bitbucket Server および Data Center

  • 6.10.14

  • 7.6.10

  • 7.17.1

Confluence Server および Data Center

  • 7.4.13

  • 7.13.2

  • 7.14.1

Crucible

  • 4.8.8

Fisheye

  • 4.8.8

Jira Service Management Server および Data Center

  • 4.13.13

  • 4.20.1

Insight Asset Management (Jira Service Management の Marketplace アプリ)

  • 8.9.4

Jira Software Server and Data Center (Jira Core を含む)

  • 8.13.13

  • 8.20.1

CVE ID

CVE-2021-42574

脆弱性の概要

この勧告は、次のような複数の製品バージョンで確認された、高い重要度のセキュリティ脆弱性を開示します。

Bamboo Server および Data Center

  • 8.0.4 よりも前のすべてのバージョン

Bitbucket Server および Data Center

  • 6.10.14 よりも前のすべてのバージョン

  • 7.0.0 と 7.5.2 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.6.10 よりも前のすべての 7.6.x LTS バージョン

  • 7.7.0 と 7.16.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.17.1 よりも前のすべての 7.17.x LTS バージョン

Confluence Server および Data Center

  • 7.4.13 よりも前のすべてのバージョン

  • 7.5.0 と 7.12.5 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.13.2 よりも前のすべての 7.13.x LTS バージョン

  • バージョン 7.14.0

Crucible

  • 4.8.8 よりも前のすべてのバージョン

Fisheye

  • 4.8.8 よりも前のすべてのバージョン

Jira Service Management Server および Data Center

  • 4.13.13 よりも前のすべてのバージョン

  • 4.14.0 と 4.19.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 4.20.1 よりも前のすべての 4.20.x LTS バージョン

Insight Asset Management (Jira Service Management の Marketplace アプリ)

  • 8.9.4 よりも前のすべてのバージョン

Jira Software Server および Data Center (Jira Core を含む)

  • 8.13.13 よりも前のすべてのバージョン

  • 8.14.0 と 8.19.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 8.20.1 よりも前のすべての 8.20.x LTS バージョン


この脆弱性による Atlassian Cloud サイトへの影響については、次のページをご確認ください。CVE-2021-42574 - Unrendered unicode bidirectional override characters in Cloud sites

ご利用のアトラシアン サイトが  atlassian.net ドメイン経由でアクセスされている場合、それは Atlassian Cloud サイトです。

上記の表の "修正済みバージョン" に記載されたバージョンにアップグレード済みのお客様は、この脆弱性の影響を受けません。

上記の表の "影響を受けるバージョン" に記載されたバージョンをダウンロードおよびインストールしているお客様は、この脆弱性を修正するためにインストールを即座にアップグレードする必要があります。

CVE-2021-42574 - Unicode bidirectional override character trojan source attack

重大度

アトラシアンはアトラシアンの重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを高度として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

Unicode の双方向オーバーライド文字として知られる特殊文字が一部のアプリケーションでレンダリングあるいは表示されない、複数のアトラシアン製品に影響する脆弱性が特定されました。これらの特殊文字は一般にはブラウザまたはコード エディタで表示されませんが、コンパイラやインタプリタで処理されたときにソース コードの意味合いに影響する可能性があります。

謝辞

この問題は、University of Cambridge の Nicholas Boucher および Ross Anderson によって発見および報告されました。詳細は CVE-2021-42574 で開示されています。

修正

弊社ではこの問題に対応するために次の対応を行いました。

  1. この問題の修正を含む、Bamboo Server および Data Center バージョン 8.0.4 のリリース。

  2. この問題の修正を含む、Bitbucket Server および Data Center バージョン 6.10.14、7.6.10、7.17.1 のリリース。

  3. この問題の修正を含む、Confluence Server および Data Center バージョン 7.4.13、7.13.2、7.14.1 のリリース。

  4. この問題の修正を含む、Crucible バージョン 4.8.8 のリリース。

  5. この問題の修正を含む、Fisheye バージョン 4.8.8 のリリース。

  6. この問題の修正を含む、Insight Asset Management Marketplace アプリ バージョン 8.9.4 のリリース。

  7. この問題の修正を含む、Jira Service Management Server および Data Center バージョン 4.13.13、4.20.1 のリリース。

  8. この問題の修正を含む、Jira Software Server および Data Center バージョン 8.13.13、8.20.1 のリリース。

必要なアクション

アトラシアンでは、最新バージョンにアップグレードすることをおすすめします。最新バージョンの完全な説明については、対象の製品のリリース ノートをご確認ください。

ご利用の製品の最新バージョンはダウンロード センターからダウンロードできます。


下記で推奨されるバージョン以降にアップグレードしてください。

製品

操作

Bamboo Server および Data Center

8.0.4 以降にアップグレード

Bitbucket Server および Data Center

7.17.1 LTS 以降にアップグレード

最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。

Confluence Server および Data Center

7.13.2 LTS 以降の 7.13.x バージョンにアップグレード

最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。

7.14.0 を実行している場合は 7.14.1 以降にアップグレード

Crucible

4.8.8 以降にアップグレード

Fisheye

4.8.8 以降にアップグレード

Insight Asset Management アプリ

アプリを 8.9.4 以降にアップグレード

これは、Insight Asset Management を Marketplace からインストールしている場合にのみ必要です。

Jira Software Server および Data Center (Jira Core を含む)

8.20.1 LTS 以降にアップグレード

最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。

Jira Service Management Server および Data Center

4.20.1 LTS 以降にアップグレード

最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。

問題の軽減策

この修正では、プル リクエスト、コード スニペット、コード ブロックなどの、コードが表示される多数の画面が、Unibode の双方向文字がハイライトされるように更新しています。ユーザーはツールチップを使用して、文字の役割や、実行時のコードの解釈方法を確認できます。

Confluence Data Center のコード ブロックを含むページを表示しているときの、メッセージの例です。

サポート

If you did not receive an email for this advisory and you wish to receive such emails in the future go to https://my.atlassian.com/email and subscribe to Alerts emails.

この勧告に関してご質問や懸念事項をお持ちの場合は、CVE-2021-42574 のよくある質問をご確認いただくか、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。

参考

セキュリティ バグ修正ポリシー

アトラシアンの新しいポリシーに記載のとおり、高度なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティに関連する問題のセキュリティ レベルについて

アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。

アトラシアン サポート終了 (EOL) ポリシー

 サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 

最終更新日 2021 年 11 月 2 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.