Jira Service Management Server および Data Center の勧告 (CVE-2023-22501)
要約 | CVE-2023-22501 - Jira Service Management における Broken Authentication の脆弱性 |
|---|---|
勧告のリリース日 | 2023 年 2 月 01 日 午前 10:00 PDT (太平洋標準時、ー7 時間) |
製品 |
|
CVE ID | CVE-2023-22501 |
脆弱性の概要
この勧告は、Jira Service Management Server および Data Center のバージョン 5.3.0 で発生した 重大な セキュリティの脆弱性を開示します。次のバージョンがこの脆弱性の影響を受けます。
5.3.0
5.3.1
5.3.2
5.4.0
5.4.1
5.5.0
Jira Service Management Server および Data Centerで、攻撃者が特定の状況下で別のユーザーになりすまして Jira Service Management インスタンスへのアクセスを得られる、認証の脆弱性が見つかりました。ユーザー ディレクトリへの書き込みアクセス権があり、Jira Service Management インスタンスで送信メールが有効化されているときに、これまでにログインしたことのないアカウントを持つユーザーに送信されたサインアップ トークンに攻撃者がアクセスできます。このようなトークンへのアクセスは 2 つのパターンで取得されます。
攻撃者が Jira 課題やリクエストに当該ユーザーとともに含まれている場合、あるいは
当該ユーザーからリクエスト表示用のリンクを含むメールが攻撃者に転送されたか、攻撃者がそのメールへのアクセス権を得た場合
このシナリオでは特に Bot アカウントが影響を受けやすいです。シングル サインオンが有効化されたインスタンス内の、誰もが自身のアカウントを作成できるプロジェクトでは、外部のカスタマー アカウントが影響を受ける可能性があります。
The issue can be tracked here: JSDSERVER-12312 - Getting issue details... STATUS
Atlassian Cloud のサイトは影響を受けません。 Jira サイトへのアクセスが |
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
影響を受けるバージョン
Jira Service Management Server および Data Center のバージョン 5.3.0 から 5.3.1 および 5.4.0 から 5.5.0 がこの脆弱性の影響を受けます。
製品 | 影響を受けるバージョン |
|---|---|
Jira Service Management Server および Data Center |
|
修正済みバージョン
製品 | 修正済みバージョン |
|---|---|
Jira Service Management Server および Data Center |
|
必要なアクション
アトラシアンは、影響を受けるすべての環境を上に記載された修正済みバージョン (あるいはそれ以降、詳細についてはこのページの "修正済みバージョン" を参照) のいずれかにアップグレードすることを推奨します。最新の Jira Service Management Server および Data Center の最新バージョンの詳細についてはリリース ノートをご確認ください。Jira Service Management Server および Data Center の最新バージョンはダウンロード センターからダウンロードできます。よくある質問についてはこちらをクリックしてください。
問題の軽減策
この脆弱性を修復するうえで推奨される方法は修正済みバージョンをインストールすることです。Jira Service Management を即座にアップグレードすることが難しい場合は一時的な回避策としてバージョンごとの servicedesk-variable-substitution-plugin JAR ファイルを手動でアップグレードできます。
Jira Service Management のバージョン | JAR ファイル |
|---|---|
5.5.0 | |
5.4.0、5.4.1 | |
5.3.0, 5.3.1, 5.3.2 |
servicedesk-variable-substitution-plugin JAR ファイルを更新するには次の手順を実行します。
- 上記の表からバージョンごとの JAR ファイルをダウンロードします。
- Jira を停止します。
JAR ファイルを Jira のホーム ディレクトリにコピーします。
Server:
<Jira_Home>/plugins/installed-plugins- Data Center:
<Jira_Shared>/plugins/installed-plugins
- Jira を起動します。
検出
ご利用のインスタンスがこの影響を受けているかどうかをアトラシアンで確認することはできませんが、ご利用のインスタンスで未認証のアクセスの可能性を調査するために利用できる手順はあります。詳細な手順をこちらの FAQ ページでご確認ください。
サポート
よくある質問についてはこちらをクリックしてください。
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。
参考
アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |