Email This Issue for Jira Security Advisory 2020-02-19 日本語訳

Email This Issue for Jira に見つかりましたセキュリティ脆弱性に関してお知らせします。脆弱性の詳細と、修正方法、対応策により一時的に回避する方法を記載します。

Email This Issue for Jira のクリティカルな脆弱性について

今回の 脆弱性 は、Email This Issue for Jiraのすべてのバージョンの Email Audit Log とその項目に影響することがわかりました。攻撃者は持続性のあるクロスサイトスクリプティングメソッドを注入し、個々のユーザーが脆弱性を悪用できるようにします。

潜在的な脅威としては、Email Audit LogのEmailの詳細を展開し、悪意のあるリンクをクリックすることから発生します。
そのため、アプリを最新バージョンへ更新するまでは、Emailのbodyを開くことや、Jira課題画面に表示される「Emails」タブ内、アプリの管理画面のEmail Audit Log内のリンクをクリックすることに気を付けていただくようにお願いします。
以下のスクリーンショットは一例です。

この脅威は受信メールにのみ存在し、送信メールには影響しません。したがって、Email This Issueのメールハンドラーを受信メール処理に使用していない場合は、安全です。 
アドオンベンダーは、脆弱性を認識した後に、オプションを検討し、即座に修正しました。

本脆弱性を修正するには

ver.8.0.0 を利用している場合

バグフィックスバージョンのv8.0.1では新機能追加は含まれていませんので、アップグレード後も現在の設定の状態でご利用できます。
通常通り、ver.8.0.1へアップグレードいただき、異常に気付きましたらお知らせください。

ver.7.1.5 を利用している場合

ver.8.0.1へ安全にアップグレードできます。
ver.8.0.0 には、大きな二つの主要な機能が追加されていますが、現在の設定には影響はございません。

ver.7.1.4以前の古いバージョンを利用している場合

最新バージョンへアップグレードすることを推奨しますが、リリースノート をお読みの上、あなたの設定をまずチェックするようにお願いします。
アプリのアップグレードの公式手順は、アトラシアンのサポートページ ( https://ja.confluence.atlassian.com/upm/updating-apps-273875710.html ) で確認できます。

対応策

Email This Issue for Jiraを ver.8.0.1へアップデートできない場合は、一時的な対応策として、以下の手順に従ってください。

1.  アプリ(アドオン) の管理 > Email this issue - Configurationへアクセスします。

2. Email Audit Log 項目で、 ドロップダウンより「Hide」を選択します。

この対応策は、ver.5.3以降で適用できることにご注意ください。

上記の対応策を実施すると、ユーザーは課題画面の下部にある「Emails」タブを見ることができなくなります。（したがって、リンクをクリックする機能はなくなります）
管理者ユーザーは、Email This Issueの管理画面で引き続きEmail Audit Logを閲覧できます。