詳細情報

Bitbucket Server/Bitbucket Data Center 引数インジェクション - CVE-2019-15000

要約	CVE-2019-15000 - Argument injection
アドバイザリのリリース日	2019/9/18 10:00 AM PDT (Pacific Time, -7 hours)
対象製品	Bitbucket Server Bitbucket Data Center
影響する Bitbucket Server & Bitbucket Data Center のバージョン	version < 5.16.10 6.0.0 <= version < 6.0.10 6.1.0 <= version < 6.1.8 6.2.0 <= version < 6.2.6 6.3.0 <= version < 6.3.5 6.4.0 <= version < 6.4.3 6.5.0 <= version < 6.5.2
修正済の Bitbucket Server & Bitbucket Data Center バージョン	5.16.10 6.0.10 6.1.8 6.2.6 6.3.5 6.4.3 6.5.2 6.6.0 6.6.1
CVE ID(s)	CVE-2019-15000

脆弱性の概要

このアドバイザリは、Bitbucket Server と Bitbucket Data Centerにおける重大なセキュリティの脆弱性を発表しています。以下のBitbucket Server と Bitbucket Data Centerのバージョンはこの脆弱性の影響を受けます。

- 5.16.9
6.0.0 - 6.0.9
6.1.0 - 6.1.7
6.2.0 - 6.2.5
6.3.0 - 6.3.4
6.4.0 - 6.4.2
6.5.0 - 6.5.1

Bitbucketのバージョンが5.16.10, 6.0.10, 6.1.8, 6.2.6, 6.3.5, 6.4.3, 6.5.2, 6.6.0, 6.6.1 もしくはそれ以上のバージョンにされているお客様は、影響を受けません。

以下のBitbucketのバージョンをダウンロード・インストールしているお客様については、

- - 5.16.9　(5.16.10で修正)
- 6.0.0 - 6.0.9 (6.0.10で修正)
- 6.1.0 - 6.1.7 (6.1.8で修正)
- 6.2.0 - 6.2.5 (6.2.6で修正)
- 6.3.0 - 6.3.4 (6.3.5で修正)
- 6.4.0 - 6.4.2 (6.4.3で修正)
- 6.5.0 - 6.5.1 (6.5.2で修正)

脆弱性の対策のために Bitbucket Server ・ Bitbucket Data Centerをただちにアップグレードしてください。

引数インジェクション - CVE-2019-15000について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル（critical）と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Bitbucket Server/ Bitbucket Data Center に、攻撃者がGitコマンドへ追加引数を注入できる引数インジェクションが可能な脆弱性があり、これによりリモートコードを実行する可能性があります。リモートの攻撃者が、 Bitbucket Server や Bitbucket Data CenterにあるGitリポジトリへのアクセスができる場合に、この引数インジェクションを悪用できます。プロジェクトやリポジトリのパブリックアクセスを有効にしている場合は、攻撃者は匿名でこの問題を悪用できます

Bitbucket Server と Bitbucket Data Center の 5.16.9以前のすべてのバージョン, 6.0.0 - 6.0.9、6.1.0 - 6.1.7 、6.2.0 - 6.2.5 、6.3.0 - 6.3.4 、6.4.0 - 6.4.2、6.5.0 - 6.5.1はこの脆弱性の影響を受けます。

本件の対応状況はこちらの課題で追跡できます。:https://jira.atlassian.com/browse/BSERV-11947

修正

Atlassianは以下のステップでこの問題を対処しています。

Bitbucket Server & Bitbucket Data Center version 6.6.1 をリリース。この問題の修正を含み、https://www.atlassian.com/software/bitbucket/download/からダウンロードできます。
Bitbucket Server & Bitbucket Data Center version 6.6.0 をリリース。この問題の修正を含み、https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。
Bitbucket Server & Bitbucket Data Center version 6.5.2 をリリース。この問題の修正を含み、 https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。
Bitbucket Server & Bitbucket Data Center version 6.4.3 をリリース。この問題の修正を含み、 https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。
Bitbucket Server & Bitbucket Data Center version 6.3.5 をリリース。この問題の修正を含み、 https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。
Bitbucket Server & Bitbucket Data Center version 6.2.6 をリリース。この問題の修正を含み、 https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。
Bitbucket Server & Bitbucket Data Center version 6.1.8 をリリース。この問題の修正を含み、 https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。
Bitbucket Server & Bitbucket Data Center version 6.0.10 をリリース。この問題の修正を含み、 https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。
Bitbucket Server & Bitbucket Data Center version 5.16.10 をリリース。この問題の修正を含み、 https://www.atlassian.com/software/bitbucket/download-archives からダウンロードできます。

あなたにしてほしいこと

Atlassianは、Bitbcuket Server/Data Center 最新版へアップグレードを推奨します。Bitbucket Server & Bitbucket Data Centerの最新版の詳細については, release notes をご確認ください。 download center から、Bitbucket Server & Bitbucket Data Centerをダウンロードできます。

Bitbucket Server / Bitbucket Data Center を version 6.6.0 以上へアップグレードする

最新バージョンへアップグレードできない場合は:

以下のバージョンを利用している場合は...	以下のバージョンへアップグレードしてください
1.x 2.x 3.x 4.x 5.x	5.16.10 6.0.10 6.1.8 6.2.6 6.3.5 6.4.3 6.5.2
6.0.x	6.0.10 6.1.8 6.2.6 6.3.5 6.4.3 6.5.2
6.1.x	6.1.8 6.2.6 6.3.5 6.4.3 6.5.2
6.2.x	6.2.6 6.3.5 6.4.3 6.5.2
6.3.x	6.3.5 6.4.3 6.5.2
6.4.x	6.4.3 6.5.2
6.5.x	6.5.2

緩和策

Bitbucket Server & Bitbucket Data Center ver.4.0.0以上については、システムをダウンすることなく、UPMを経由してインストールできるホットフィックスプラグインを作成しました。ホットフィックスプラグインは、Bitbucket Server & Bitbucket Data Center のインスタンスで動作し、修正バージョンへのアップグレードの計画や実行している間に利用できます。

ホットフィックスプラグインがインストールされていても、依然として脆弱性が生じる可能性があることに注意してください。ホットフィックスはシステムの標準機能のみを保護します。より包括的に修正をしたい場合は、システムをアップグレードする必要があります。ホットフィックスプラグインは、https://jira.atlassian.com/browse/BSERV-11947 からダウンロードして利用できます。このページにもホットフィックスプラグインを添付しています。

	ファイル
	bitbucket-bserv-11896-hotfix-1.0.0.jar

サポートされていないブラウザーです