この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2022年6月30日時点の情報です)
https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html
Jira Server and Data Center - Full-Read Server Side Request Forgery in Mobile Plugin Security Advisory (CVE-2022-26135)
要約 | Jira Data Center および Jira Server 用の Mobile Plugin における、完全な読み取り権を持つサーバー・サイド・リクエスト・フォージェリ (CVE-2022-26135) |
---|---|
アドバイザリのリリース日 | 午前 2時 (JST) |
対象製品 |
|
影響を受けるバージョン |
|
修正されたバージョン |
|
CVE ID(s) |
|
脆弱性の概要
Atlassian 社は、本脆弱性の セキュリティ問題の深刻度 を High レベルと評価しています。
Jira Server および Data Center の 8.13.21 までのバージョン、8.14.0 から 8.20.9 までのバージョン、8.21.0 から 8.22.3 までのバージョンが本脆弱性の影響を受けます。
Jira Service Management Server および Data Center の 4.13.21 までのバージョン、4.14.0 から 4.20.9 までのバージョン、バージョン 4.21.0 から 4.22.3 までのバージョンがこの脆弱性の影響を受けます。
「影響を受けるバージョン」に記載されたバージョンをダウンロードおよびインストールしているすべてのお客様が、この脆弱性を修正するために、ご利用の環境をアップグレードする必要があります。
ご利用の環境を即座にアップグレードしてください。
Jira Cloud 製品は影響を受けません
ご利用の Jira サイトが atlassian.net
ドメイン経由でアクセスしているものの場合はこの脆弱性の影響を受けません。
脆弱性の説明
Jira と Jira Service Management にバンドルされている Mobile Plugin for Jira に、完全な読み取り権を持つサーバー・サイド・リクエスト・フォージェリが存在します。
この脆弱性は、すべての認証済みユーザー (サインアップ機能で参加したユーザーを含む) が悪用できます。
特に、 Mobile Plugin for Jira で使われているバッチ HTTP エンドポイントに影響します。脆弱なエンドポイントの body で method パラメーターを通じて、意図した URL の HTTP メソッドやロケーションを制御できます。
上記に記載した「修正されたバージョン」よりも前のすべての Jira および Jira Service Management がこの脆弱性の影響を受けます。
この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/JRASERVER-73863 https://jira.atlassian.com/browse/JSDSERVER-11840
影響を受けるバージョンの一覧に記載されたバージョンをダウンロードおよびインストールしているすべてのお客様が、この脆弱性を修正するためにご利用の環境をアップグレードする必要があります。
ご利用の環境を即座にアップグレードしてください。
Jira Cloud 製品は影響を受けません
ご利用の Jira サイトが atlassian.net
ドメイン経由でアクセスしているものの場合はこの脆弱性の影響を受けません。
対応策
この脆弱性に対応するために、以下の修正バージョンをリリースしました。
Jira Core Server、Jira Software Server、 Jira Software Data Center
8.13.22
8.20.10
8.22.4
9.0.0
Jira Service Management Server/ Data Center
4.13.22
4.20.10
4.22.4
5.0.0
Jira Core、Jira Software、または Jira Service Management のダウンロードページから最新バージョンをダウンロードし、上記の修正バージョンへの製品アップグレードをお願いします。
上記のバージョンは、CVE-2022-26135 の修正を含む最初のバージョンです。上記に記載されたリリースについては、より最新のバグ修正リリースが提供されています。アトラシアン社では最新のバグ修正バージョンへのアップグレードを推奨しています。
軽減策
CVE-2022-26135 に対応するための最も確実な方法は、Jira または Jira Service Management の修正済みバージョンのインストールです。
Jira または Jira Service Management を即座にアップグレードすることができない場合、一時的な回避策として、Mobile Plugin for Jira Data Center and Server (com.atlassian.jira.mobile.jira-mobile-rest
) をこのセクションで指定したバージョンにアップグレードして本脆弱性の影響を軽減できます (もしくは アプリを無効化 )。
以下の Mobile Plugin for Jira アプリのバージョンに、本脆弱性の修正が含まれます。
3.1.5 (Jira 8.13.x および Jira Service Management 4.13.x と互換)
3.2.15 (Jira 8.20.x および 8.22.x と互換、Jira Service Management 4.20.x および 4.22.x と互換)
Jira 8.13 か Jira Service Management 4.13.x をご利用で、以前にバンドルの ver.3.1.x 以降のバージョンへアップグレードされた場合
今回の修正バージョン 3.1.5 へアップグレードすると、Jira Service Management 対応を含む ver. 3.1 以降のバージョンで追加されたバグフィックスと機能がロールバックされてなくなります。
アプリのアップグレード手順は、以下のいずれかで実施できます。
シナリオ A:「ユーザーのインストールによるアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合
Jira 管理 > アプリの管理 で「ユーザーのインストールによるアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合、[更新] をクリックしますと、最新版へアップグレードされます。
シナリオ B:「システムアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合
Jira 管理 > アプリの管理 で「システムアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合、以下の手順でアプリをアップグレードします。(Jira の再起動は不要です)
Atlassian Marketplace から ご利用のJira バージョンと互換性がある 修正バージョンのアプリをダウンロードします。 (
JAR
ファイルとして保存されます)Jira 管理 > アプリの管理 で「アプリをアップロード」をクリックします。
1 で入手したJAR
ファイルをアップロードします。インストールした後に、新しいバージョンが「ユーザーのインストールによるアプリ」カテゴリに表示されていることを確認します。
以前の JAR
ファイルは <Jira Install>/atlassian-jira/WEB-INF/atlassian-bundled-plugins
に残りますが、そのままで問題ありません