CVE-2019-13990- Jira Service Management Data Center および Jira Service Management Server の XXE (XML External Entity インジェクション) の脆弱性

セキュリティ アドバイザリーおよびセキュリティ情報

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

CVE-2019-13990- Jira Service Management Data Center および Server の XXE (XML External Entity インジェクション) の脆弱性

要約CVE-2019-13990- Jira Service Management Data Center および Server の XXE (XML External Entity インジェクション) の脆弱性
勧告のリリース日2023 年 10 月 17 日 (火) 10:00 PDT
製品
  • Jira Service Management Data Center
  • Jira Service Management Server
CVE IDCVE-2019-13990
関連する Jira チケット



脆弱性の概要

Jira Service Management Server および Data Center の特定のバージョンに CVE-2019-13990 の影響があります。影響を受けるバージョンには、Terracotta Quartz Scheduler の脆弱なバージョンが含まれており、認証された攻撃者がジョブ記述を使用して XML External Entity インジェクション攻撃を開始できるようになっていました。

アトラシアンは NVD 脆弱性スコアに基づいて重大な勧告 (critical advisories) を発行するとしており、この場合、このサードパーティ CVE の CVSS は重大 (9.8) ですが、このスコアは脆弱なコンポーネントがアトラシアンのソフトウェアで使用されているコンテキストを必ずしも考慮していません。システムにローカル アクセスできない認証されていない攻撃者は、この脆弱性を悪用できません。そのため、この脆弱性に対するアトラシアンの内部評価は、t高い深刻度 (high secerity) とスコア付けされています。

深刻度

NVD はこの脆弱性の深刻度を「重大 (critical)」と評価していますが、アトラシアンは内部評価により、この脆弱性の深刻度レベルを「高」(8.4で、CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) と評価しています。これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

影響を受けるバージョン

この XXE (XML External Entity インジェクション) 脆弱性は、Jira Service Management Data Center および Server の 4.20.0 以降のすべてのバージョンに影響します。サポート期間外のバージョンも影響を受ける可能性があるため、アトラシアンでは修正済みの LTS バージョン以降へのアップグレードを推奨しています。

製品影響を受けるバージョン
Jira Service Management Data Center および Server
  • 4.20.0
  • 4.20.1
  • 4.20.10
  • 4.20.11
  • 4.20.12
  • 4.20.13
  • 4.20.14
  • 4.20.15
  • 4.20.16
  • 4.20.17
  • 4.20.18
  • 4.20.19
  • 4.20.2
  • 4.20.20
  • 4.20.21
  • 4.20.22
  • 4.20.23
  • 4.20.24
  • 4.20.25
  • 4.20.3
  • 4.20.4
  • 4.20.5
  • 4.20.6
  • 4.20.7
  • 4.20.8
  • 4.20.9
  • 4.21.0
  • 4.21.1
  • 4.22.0
  • 4.22.1
  • 4.22.2
  • 4.22.3
  • 4.22.4
  • 4.22.6
  • 5.0.0
  • 5.1.0
  • 5.1.1
  • 5.2.0
  • 5.2.1
  • 5.3.0
  • 5.3.1
  • 5.3.2
  • 5.3.3
  • 5.4.0
  • 5.4.1
  • 5.4.2
  • 5.4.3
  • 5.4.4
  • 5.4.5
  • 5.4.6
  • 5.4.7
  • 5.4.8
  • 5.4.9
  • 5.5.1
  • 5.6.0
  • 5.7.0
  • 5.7.1
  • 5.8.0
  • 5.8.1
  • 5.9.0
  • 5.10.0

必要なアクション

修正済みバージョン

アトラシアンでは、影響を受ける各インストールを以下の修正バージョン (またはそれ以降のバージョン) のいずれかにアップグレードすることを推奨しています。

製品修正済みバージョン
Jira Service Management Data Center および Server
  • 4.20.26 以降
  • 5.4.10 以降
  • 5.7.2 以降
  • 5.8.2 以降
  • 5.9.2 以降
  • 5.10.1 以降

問題の軽減策

修正済みバージョンにすぐにアップグレードできない場合は、この手順に従って Jira Service Management インスタンスのアセットを無効にすることで、この脆弱性を一時的に修正できます これは、結果としてアセット機能を無効にします。

To avoid any downtime, make sure to disable / enable Assets outside of working hours.


よくある質問 (FAQ)

詳細については、よくある質問 (FAQ) ページをご確認ください。


サポート

このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ からサポート リクエストを起票ください。

参考

セキュリティ バグ修正ポリシー弊社の新しいポリシーに従い、重要なセキュリティ バグの修正はバックポートされます。バイナリーパッチではなく、ポリシーの対象となるバージョンの新しいメンテナンス リリースをリリースします。バイナリー パッチのリリースは終了しています。
セキュリティ問題の深刻度アトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細は FIRST.org でご確認ください。
サポート終了ポリシーサポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。
最終更新日 2023 年 11 月 8 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.