要約
Atlassian 社のセキュリティアドバイザリ
Jira Server for Slack - リモートコード実行できる脆弱性 (CVE-2021-26068)
要約 | CVE-2021-26068 - Jira Server for Slack でリモートコード実行できる脆弱性 |
---|---|
アドバイザリのリリース日 | 午前10時 (PDT) |
対象製品 | |
影響を受ける Jira Server for Slack のバージョン | 2.0.14 までのすべてのバージョン |
修正された Jira Server for Slack のバージョン | 2.0.15 |
CVE ID(s) |
|
脆弱性の概要
このアドバイザリでは、 Jira Server for Slack plugin における重大なセキュリティ脆弱性を発表します。
Jira Server for Slack plugin の 2.0.14 までのすべてのバージョンはこの脆弱性の影響を受けます。
Jira Server/ Data Center 環境にこのプラグインをインストールされてない場合は、この脆弱性の影響を受けません。デフォルトでは、Jira Server/ Data Center 環境にこのプラグインはインストールされていません。
Jira Server/ Data Center 環境にこのプラグインをインストールしている場合は、この脆弱性を修正するために、ただちに バージョン 2.0.15 へアップグレードするようにお願いします。
また、Jira Cloud 環境にはこの脆弱性の影響はありません。
脆弱性の説明
Jira Server for Slack plugin に影響があるリモートコード実行できる脆弱性があり、Jira ログイン済ユーザーが影響を受けるエンドポイントへ悪意のあるペイロードを送信することにより、悪用される可能性があります。
この脆弱性の悪用に成功した場合、攻撃者はシステム上で任意のコードを実行できる可能性があります。
この脆弱性は右記のページで追跡できます。 Jira Server for Slack Security Advisory 17th February 2021
あなたがすべきこと
Jira Server/ Data Center 環境に バージョン 2.0.14までの Jira Server for Slack plugin がインストールされているかどうかを確認してください。
確認する方法は、アプリの管理画面で “Jira Server for Slack” を検索してください。インストールされている場合は、バージョンを確認してください。
バージョンが 2.0.14 以下の場合は、Jira 環境は脆弱な状態です。
Jira Server for Slack plugin のアップグレード
Jira Server for Slack を最新バージョンへアップグレードしてください。アプリのアップグレード手順の詳細は、アプリの更新 をご確認ください。
緩和策
ただちに Jira Server for Slack をアップグレードできない場合は、一時的な対応策として、以下のいずれかを実施してください。
Jira Server for Slack plugin の無効化
Jira Server for Slack plugin のアンインストール
/rest/slack/1.0/message/render エンドポイントへのアクセスをブロックする
リバースプロキシやロードバランサでアクセスを拒否することで対応できます。もしくは直接 Tomcat で拒否設定 (Tomcat で特定の URL へのアクセスをブロックする方法) を実施します。
Jira Server for Slack の最新バージョンの詳細については、リリースノート (https://marketplace.atlassian.com/apps/1220099/jira-server-for-slack-official/version-history) をご覧ください。最新バージョンは、Atlassian Marketplace からダウンロードできます。