バージョン 3.0.5 3.1.6 3.2.8 3.3.5 3.4.4 へアップグレードした Crowd Server や Data Center の場合は影響をうけません。
Atlassian社のセキュリティアドバイザリ
詳細情報
注意
2014年9月以降、バグフィックス用のパッチは発行されていません。代わりに、バグフィックスを含む新しいバージョンをリリースします。
| Summary |
|
|---|---|
| Advisory Release Date | 10:00 AM PDT (Pacific Time, -7 hours) |
| Products |
|
| Affected Versions |
|
| Fixed Versions |
|
| CVE ID(s) |
|
脆弱性の概要
このアドバイザリでは、 Crowd Server と Crowd Data Centerに含まれる重大な脆弱性について説明します。
ver.2.1.0から2.12.1および3.0.0から3.0.3 (ver.3.0.xの修正バージョン)より前 、ver.3.1.0から 3.1.5(ver.3.1.xの修正バージョン)より前、ver.3.2.0から 3.2.8(ver.3.2.xの修正バージョン)より前、ver.3.3.0から 3.3.4(ver.3.3.xの修正バージョン)より前、ver.3.4.0から 3.4.3(ver.3.4.xの修正バージョン)より前のバージョンのCrowd Server と Crowd Data Center が影響を受けます。
以下のCrowd Server やData Centerバージョンをダウンロードしてインストールしているお客様は影響を受けます:
- 3.0.5 より前の2.x.x、3.0.xすべて
- 3.1.6 より前の3.1.xすべて
- 3.2.8 より前の3.2.xすべて
- 3.3.5 より前の3.3.xすべて
3.4.4 より前の3.4.xすべて
脆弱性を修正するために、ただちにCrowd Server やData Centerをアップグレードしてください。
pdkinstall development plugin incorrectly enabled (CVE-2019-11580)について
重大度
Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
説明
Crowd Server と Crowd Data Center で pdkinstall 開発用プラグインがリリースの段階で誤って有効になっていました。認証がされていない、または認証されているリクエストを送信することができる攻撃者は、 脆弱性のあるバージョンのCrowd Serverや Data Center のインスタンスに、この脆弱性を悪用して任意のプラグインをインストールすることができ、任意のコードを実行することが可能です。
ver.2.1.0から2.12.1および3.0.0から3.0.5 (ver.3.0.xの修正バージョン)より前 、ver.3.1.0から 3.1.6(ver.3.1.xの修正バージョン)より前、ver.3.2.0から 3.2.8(ver.3.2.xの修正バージョン)より前、ver.3.3.0から 3.3.5 (ver.3.3.xの修正バージョン)より前、ver.3.4.0から 3.4.4(ver.3.4.xの修正バージョン)より前のバージョンのCrowd Server と Crowd Data Center が影響を受けます。
この問題はこの課題で追跡できます。: https://jira.atlassian.com/browse/CWD-5388 CLOSEDCLOSED
修正
Atlassian社はこの問題に対処するため以下の対策を施しました。
- この問題の修正を含む Crowd Server / Data Center ver.3.4.4をリリースしました。これは https://www.atlassian.com/software/crowd/download からダウンロードできます。
- この問題の修正を含む Crowd Server / Data Center ver.3.0.5, 3.1.6, 3.2.8, そして 3.3.5をリリースしました。これらは https://www.atlassian.com/software/crowd/download-archive からダウンロードできます。
あなたにしてほしいこと
Atlassianは、Crowd最新版 (3.4.4)へアップグレードを推奨します。Crowd Serverの最新バージョンの詳細の説明については、リリースノート をご確認ください。Crowd Serverの最新バージョンは、AtlassianのWebサイト からダウンロードできます。
最新バージョン(3.4.4)へアップグレードできない場合は:
次の バグフィックスバージョンへアップグレードしてください。
以下のを利用している場合は... | …以下のバグフィックスバージョンへアップグレードする: |
|---|---|
2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.7, 2.2.8, 2.2.9, 2.3.0, 2.3.1, 2.3.2, 2.3.3, 2.3.4, 2.3.5, 2.3.6, 2.3.7, 2.3.8, 2.3.9, 2.3.10, 2.4.0, 2.4.1, 2.4.2, 2.4.3, 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2.5.0, 2.5.1, 2.5.2, 2.5.3, 2.5.4, 2.5.5, 2.5.6, 2.5.7, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 2.6.7, 2.7.0, 2.7.1, 2.7.2, 2.8.0, 2.8.1, 2.8.2, 2.8.3, 2.8.4, 2.8.6, 2.8.7, 2.8.8, 2.9.1, 2.9.2, 2.9.3, 2.9.4, 2.9.5, 2.9.6, 2.9.7, 2.10.1, 2.10.2, 2.10.3, 2.10.4, 2.11.0, 2.11.1, 2.11.2, 2.12.0, 2.12.1, 3.0.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4 | 3.0.5 |
| 3.1.0, 3.1.1, 3.1.2, 3.1.3, 3.1.4, 3.1.5 | 3.1.6 |
| 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4, 3.2.5, 3.2.6, 3.2.7 | 3.2.8 |
3.3.0, 3.3.1, 3.3.2, 3.3.3, 3.3.4 | 3.3.5 |
緩和策
近々にアップグレードいただけない場合は、一時的な回避策として、以下の手順を実施してください。
- Crowdサービスを停止します。
- Crowd の installation directory と data directory から pdkinstall-plugin のjarファイルを検索し、存在すれば削除します
- <Crowd installation directory>/crowd-webapp/WEB-INF/classes/atlassian-bundled-plugins.zip から pdkinstall-plugin jarファイル(pdkinstall-plugin-x.x.jar)を削除します。
- Crowdサービスを起動します。
- installation directory と data directoryに pdkinstall-plugin の jarファイルが存在していないことを確認します。
以下のbashスクリプトを使用して、上記の緩和策をLinuxにて適用できます。
#!/bin/bash
set -u
INSTALLATION_DIRECTORY= # set this to where crowd is installed
DATA_DIRECTORY= # set this to the crowd data directory
if [ -z "$INSTALLATION_DIRECTORY" ]
then
echo "Please set INSTALLATION_DIRECTORY"
exit 1
fi
if [ -z "$DATA_DIRECTORY" ]
then
echo "Please set DATA_DIRECTORY"
exit 1
fi
if test -f $DATA_DIRECTORY; then
echo "Please check that DATA_DIRECTORY is correct."
exit 1
fi
if test -f $INSTALLATION_DIRECTORY/stop_crowd.sh; then
echo "Stopping Crowd"
$INSTALLATION_DIRECTORY/stop_crowd.sh > /dev/null
find $INSTALLATION_DIRECTORY -iname 'atlassian-bundled-plugins.zip' -exec zip -d {} 'pdkinstall-plugin-*.jar' \;
# You should see something like deleting: pdkinstall-plugin-0.4.jar after the above find command has run
find $DATA_DIRECTORY -iname 'pdkinstall-plugin*' -exec rm {} \;
echo "Starting Crowd"
if test -f $INSTALLATION_DIRECTORY/start_crowd.sh; then
$INSTALLATION_DIRECTORY/start_crowd.sh
sleep 60
find $DATA_DIRECTORY -iname 'pdkinstall-plugin*' -exec "Failed to apply the mitigation - {} still exists" \;
else
echo "Failed to start crowd"
fi
else
echo "Unable to stop crowd, please ensure that you have specified the correct installation directory."
fi
サポート
もしこのアドバイザリのメールが届かなく、今後メールの受け取りを希望する場合は、https://my.atlassian.com/email より Alerts emailを購読してください。