Bitbucket Data Center の影響を受けるバージョン

Bitbucket Data Center の単一インストールとマルチノード インストールの両方が影響を受けます。クラスタが有効化されているかどうかは、アプリケーションの脆弱性に影響しません。

Bitbucket Data Center の次のバージョンが影響を受けています。

• 5.14.x 以降のすべての 5.x バージョン

• すべての 6.x バージョン

• 7.6.13 までのすべての 7.x バージョン

• 7.7.x から 7.16.x までのすべてのバージョン

• 7.17.x < 7.17.6

• 7.18.x < 7.18.4

• 7.19.x < 7.19.4

• 7.20.0

Bitbucket Data Center の修正済みのバージョン

Bitbucket Data Center の次のバージョンではこの脆弱性が修正されています。

• 7.6.14

• 7.17.6

• 7.18.4

• 7.19.4

• 7.20.1

• 7.21.0

上記バージョンを Atlassian 社のダウンロード ページで取得し、Bitbucket のアップグレード ガイドに記載された手順を利用してアップグレードを完了してください。

修正済みのバージョンをインストールすることができない場合は以下の「回避策」セクションをご確認ください。

Confluence Data Center の影響を受けるバージョン

Confluence Data Center は、クラスタとしてインストールされている場合にのみ影響を受けます。クラスタ インストールが利用されているかどうかを確認するには、Confluence ホーム ディレクトリの confluence.cfg.xml ファイルをご確認ください。次の行が存在する場合はクラスタとしてインストールされています。

<property name="confluence.cluster">true</property>

この行が存在しない、あるいは値が true ではなく false に設定されている場合、Confluence はクラスタとしてインストールされていません。

クラスタが有効化されている次のバージョンの Confluence Data Center が影響を受けます。

• 5.6.x 以降のすべてのバージョン

Confluence Data Center の修正済みのバージョン

Atlassian 社では、今後のリリースでこの脆弱性に対応することを予定しています。最新情報については次のチケットをウォッチしてください。

CONFSERVER-78179 - Confluence Data Center - Java Deserialization Vulnerability In Hazelcast - CVE-2016-10750

それまでは以降の「回避策」セクションをご確認ください。

回避策

ファイアウォールまたは他のネットワーク アクセス制御を使い、Hazelcast ポートへのアクセスを制限します。これらのポートへは、Bitbucket もしくは Confluence クラスタの他ノードからのアクセスのみが必要です。

Bitbucket Data Center の場合、Hazelcast はデフォルトで TCP ポート 5701 を利用します。 

Confluence Data Center の場合、Hazelcast はデフォルトで TCP ポート 5701 と 5801 の両方を利用します。

参考

• BSERV-13173 - Bitbucket Data Center - Java Deserialization Vulnerability In Hazelcast - CVE-2016-10750
• CONFSERVER-78179 - Confluence Data Center - Java Deserialization Vulnerability In Hazelcast - CVE-2016-10750