情報 |
---|
このドキュメントでは、Atlassian 社のセキュリティアドバイザリ(Multiple Products Security Advisory - Unrendered unicode bidirectional override characters - CVE-2021-42574)について影響範囲や気を付けていただきたい点を中心に記載しております。 記載内容を確認し、軽減策もしくは Atlassian 製品バージョンアップを実施するかは各自でご判断いただくようにお願いします。 ※今後の Atlassian の発表により記載内容を更新します。 |
...
① Jira の コメント欄にコマンドやコードをコピー&ペーストして運用している場合
- 悪意のある双方向オーバーライド文字を含むコマンドやコードをコピーし、Jira の課題のコメント欄に貼り付ける。
- 1 のコマンドやコードをコピーし、実行環境等でコンパイラやインタプリタで処理されたときにソースコードの意味合いが変わっているため、正常に処理ができなくなる。
② Confluence でコードプロック等にコマンドやコードをコピー&ペーストして運用している場合
- 悪意のある双方向オーバーライド文字を含むコマンドやコードをコピーし、Confluence のページのコードブロックに貼り付ける。
- 1のコマンドやコードをコピーし、実行環境等でコンパイラやインタプリタで処理されたときにソースコードの意味合いが変わっているため、正常に処理ができなくなる。
③ Bitbucket でコード変更の承認をしている場合
- 悪意のある双方向オーバーライド文字を含むコマンドやコードをコピーし、Bitbucket のソースファイルへ貼り付ける。
- 置き換わった内容を Bitbucket 上で目視できないため、置き換わったことに気が付かず、プルリクエストを承認し、マージする。
- 2のソースコードを実行環境等でコンパイラやインタプリタで処理されたときにソースコードの意味合いが変わっているため、正常に処理ができなくなる。
...