Atlassian 社のセキュリティアドバイザリ
詳細情報
Jira Server - リソース内のテンプレートインジェクション - CVE-2019-11581
| Summary | CVE-2019-11581 - Template injection in various resources | |
|---|---|---|
| Advisory Release Date | 10 July 2019, 10 AM PDT (Pacific Time, -7 hours) | |
| Product | Jira Server and Jira Data Center 注意: Jira Software Server, Jira Core Server, Jira Service Desk Serverも影響を受けます。 | |
Affected Jira Versions | Jira Core, Jira Software
| Jira ServiceDesk
|
Fixed Jira Versions |
|
|
| CVE ID(s) | CVE-2019-11581 | |
脆弱性の概要
このアドバイザリは、Jira Server/ Jira Data Center Data Centerのバージョン4.4.0で導入された重大なセキュリティの脆弱性を発表しています。
Jira Cloud は本脆弱性の影響を受けません。
Jira Server/ Jira Data Center Data Centerを バージョン 7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3 にアップグレードしたお客様は本脆弱性の影響を受けません。
以下の Jira Server / Data Centerバージョンをインストールしているお客様は影響を受けます:
- 4.4.x
- 5.x.x
- 6.x.x
- 7.0.x
- 7.1.x
- 7.2.x
- 7.3.x
- 7.4.x
- 7.5.x
- 7.6.x <= version < 7.6.14
- 7.7.x
- 7.8.x
- 7.9.x
- 7.10.x
- 7.11.x
- 7.12.x
- 7.13.x <= version < 7.13.5
- 8.0.x <= version < 8.0.3
- 8.1.x <= version < 8.1.2
- 8.2.x <= version < 8.2.3
この脆弱性を解決するために、Jira Server/ Jira Data Center Data Centerをただちにアップグレードしてください。
Jira Service Desk ver.3.0 - ver.4.2.2 をダウンロードしてインストールしているお客様は影響を受けます:
上記は、Jira Software とJira Core のバージョンを載せています。ご利用の Jira Service Desk と互換性のあるバージョンを確認するために compatibility matrixをご参照ください。
Template injection in various resources (CVE-2019-11581) について
重大度
Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
説明
Jira Server /Data CenterのContactAdministrators (管理者への問い合わせフォーム)とSendBulkMail (管理画面の「メールを送信」)の操作について、サーバーサイド・テンプレート・インジェクションが可能な脆弱性が発見されました。
この脆弱性を悪用するためには、少なくとも以下の何れかの条件を満たす必要があります。
1.送信メールサーバー(SMTPサーバー)がJiraで設定されていて、「管理者への問合せフォーム」が有効になっている
2.送信メールサーバー(SMTPサーバー)がJiraで設定されていて、攻撃者が「Jira管理者」権限を持ち、管理画面の「メールを送信」メニューへアクセスできる
一つ目の「管理者への問合せフォーム」が有効になっているケースでは、攻撃者が認証せずに脆弱性を悪用できます。
二つ目の脆弱性については、Jira管理者権限を持っている場合に脆弱性を悪用できます。
いずれのケースも本脆弱性の悪用に成功すると、脆弱性のあるJira Server / Data Center のバージョンで、攻撃者がリモートでコードを実行できます。
Jira Server / Data Center ver.4.4.0から 7.6.14(7.6.xの修正バージョン)より前、ver.7.7.0からver.7.13.5(ver.7.13.xの修正バージョン)より前、ver.8.0.0から8.0.3(ver.8.0.xの修正バージョン)より前、ver.8.1.0から8.1.2(ver.8.1.xの修正ーバージョン)より前、ver.8.2.0からver.8.2.3より前のすべてのバージョンが本脆弱性の影響を受けます。
あなたにしてほしいこと
緩和策
すぐにJiraをアップグレードできない場合は、一時的な対応策として以下のご対応をお願いします。
- 「管理者への問い合わせフォーム」を無効化 します
- 以下のエンドポイントを リバースプロキシ、ロードバランサ、またはTomcatで直接(設定手順)ブロックします。
・/secure/admin/SendBulkMail!default.jspa・/admin/SendBulkMail!default.jspa・/SendBulkMail!default.jspa
SendBulkMail エンドポイントをブロックすることで、Jira管理者がユーザーへメールを一括送信することを抑止します。
Jiraをアップグレード後は、「管理者への問合せフォーム」を再有効化し、SendBulkMailのエンドポイントのブロックを解除できます。
Jiraのアップグレード
Atlassian は最新のバージョンにアップグレードすることをお勧めします。Jira Server /Data Centerの最新バージョンの詳細については、リリースノートをご確認ください。
ダウンロードセンター からJira Server /Data Centerの最新バージョンをダウンロードできます。
Jira Server /Data Centerを ver.8.2.3 以上にアップグレードしてください。
最新バージョン 8.2.3 へアップグレードできない場合は:
(1) 現在のフィーチャーバージョン(2018年12月10日以降にリリースされたフィーチャーバージョン)をご利用の場合は、ご利用のフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。
| 以下のバージョンを利用している場合は... | 以下のバージョンへアップグレードしてください |
|---|---|
| 8.0.x | 8.0.3 |
| 8.1.x | 8.1.2 |
(2) 現在の Enterprise release バージョン (2017年 7月10日より前にリリースされたEnterprise release バージョン), 最新の Enterprise releaseバージョン (7.13.5)へアップグレードしてください。
Enterprize release バージョン7.6は、2019年11月にEOLを迎えることをご認識ください。もし最新のエンタープライズ版(7.13.5)へアップグレードできない場合は、7.6.14へアップグレードしてください。
以下のエンタープライズバージョンを利用している場合は... | 以下のバージョンへアップグレードしてください |
|---|---|
7.6.x | 7.13.5 (推奨) 7.6.14 |
7.13.x | 7.13.5 |
(3) 古いバージョン(2018年12月10日より前のフィーチャーバージョン、2017年10月より前にリリースされたエンタープライズリリースバージョン)をご利用の場合は、最新バージョンか最新のエンタープライズリリースバージョン(7.13.5)へアップグレードをお願いします。,
以下のバージョンを利用している場合は... | 以下のバージョンへアップグレードしてください |
|---|---|
4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x | 現在のバージョン 8.0.3 8.1.2 8.2.3 Enterprise releaseバージョン 7.6.14 7.13.5 (推奨) |