| 情報 | ||
|---|---|---|
| ||
https://confluence.atlassian.com/jira/jira-service-desk-security-advisory-2019-11-06-979412717.html |
...
このアドバイザリは、二つのクリティカルな深刻度のセキュリティアドバイザリ( CVE-2019-15003 と CVE-2019-15004) を含みます。3.9.16以前、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0 がこの脆弱性の影響を受けます。
...
3.9.16までのすべてのバージョン、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0が、この脆弱性の影響を受けます。
本件の対応状況はこちらの課題で追跡できます。https://jira.atlassian.com/browse/JSDSERVER-6590
* Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この権限を変更してもポータルアクセス権限を持つ攻撃者によって悪用される脆弱性は解除されません。Atlassianは権限を変更することを推奨していません。代わりに次のセクションで説明する指示を読み、それに従ってください。
謝辞
私たちは、この脆弱性を発見した Raphaël Arrouas に感謝します。
...
* Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この権限を変更してもポータルアクセス権限を持つ攻撃者によって悪用される脆弱性は解除されません。Atlassianは権限を変更することを推奨していません。代わりに次のセクションで説明する指示を読み、それに従ってください。
謝辞
私たちは、この脆弱性を発見した Raphaël Arrouas に感謝します
...
以下のバージョンへのJira Service Desk のアップグレード
| 情報 |
|---|
Jira Service Deskを以下に指定されているバージョンにアップグレードします。 |
Jira Service Desk をアップグレードするには、Jira Coreのアップグレードも必要です。compatibility matrix でご利用のJira Service Desk バージョンと互換性のあるバージョンをご確認ください。
...