比較バージョン

バージョン 古いバージョン 2 新しいバージョン 3
による変更

Hanayo Minamisawa [Ricksoft]

Hanayo Minamisawa [Ricksoft]

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。
情報

この記事は、2021年7月29日に re:solution 社から発表された SAML Single Sign-On (SSO) アプリのセキュリティ脆弱性記事 「2021-07-29 Authentication Bypass: Network Attacker Can Login To Users’ Accounts When Usernames Are Known」を日本語翻訳し、リックソフトが補足説明を追加しています。

<2021/8/12 更新情報>
2021/8/12 に 追加シナリオに対処する内容を含めた修正バージョンがリリースされました。
2021/7/29 にリリースされたバージョンへ既に更新されている場合でも、今回新しく更新したバージョンへバージョンアップするようにお願いします。

...

要約

既知の Username で認証をバイパスしてログインできる脆弱性

アドバイザリのリリース日

2021-07-29

影響するアプリ

SAML Single Sign-On (SSO) for JIRA

SAML Single Sign-On (SSO) for Confluence

SAML Single Sign-On (SSO) Bitbucket

SAML Single Sign-On (SSO) for Bamboo

SAML Single Sign-On (SSO) for Fisheye

影響する SAML SSO アプリバージョン

修正済バージョンより前のバージョンすべて

修正済の SAML SSO アプリバージョン
  • Jira
    • 5.0.6
    • 4.0.13
    • 3.6.7
    • 2.0.14
  • Confluence
    • 5.0.6
    • 4.0.13
    • 3.6.7
    • 3.5.7
    • 2.0.14
  • Bitbucket
    • 5.0.6
    • 4.0.13
    • 3.6.7
    • 3.5.0.2
    • 2.5.10
  • Bamboo
    • 5.0.6
    • 4.0.13
    • 3.6.7
    • 2.5.10
  • Fisheye
    • 2.5.10
CVSS Score: Base Score
/ Temporal Score
  • Base 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Temporal 8.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
CVE NumberCVE-2021-37843

...

Atlassian 製品Atlassian 製品バージョンSAML SSO アプリバージョン
Jira                      

7.0.4 - 7.9.2                      2.0.14                                   
7.3.0 - 8.14.1                       3.6.7                                   
7.13.0 - 8.17.04.0.13
8.3.0 - 8.18.15.0.6
Confluence5.10.0 - 6.8.52.0.14
6.3.0 - 7.5.23.5.7
6.8.0 - 7.8.33.6.7
6.13.0 - 7.12.34.0.13
7.0.1 - 7.12.35.0.6
Bitbucket5.5.0 - 6.10.22.5.10
5.12.4 - 7.15.03.6.7
6.0.0 - 7.15.04.0.13
6.4.0 - 7.15.05.0.6
Bamboo5.12.0.2 - 6.10.62.5.10
6.6.0 - 7.1.43.6.7
6.8.0 - 7.2.54.0.13
6.10.2 - 7.2.55.0.6
Fisheye/Crucible4.2.0 - 4.8.72.5.10

...