Jira Server and Data Center - Full-Read Server Side Request Forgery in Mobile Plugin Security Advisory 2022-06-29 日本語訳

2022/7/1にAtlassian 社は、 Mobile Plugin for Jira アプリ修正バージョン ver. 3.2.15 と互換性のある Jira バージョンを更新しました

この更新に伴い、「軽減策」セクションの内容を変更しています。

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2022年6月30日時点の情報です)

https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html

1 Jira Server and Data Center - Full-Read Server Side Request Forgery in Mobile Plugin Security Advisory (CVE-2022-26135)
2 脆弱性の概要
3 脆弱性の説明
4 対応策
5 軽減策
- 5.1 シナリオ A：「ユーザーのインストールによるアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合
- 5.2 シナリオ B：「システムアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合

Jira Server and Data Center - Full-Read Server Side Request Forgery in Mobile Plugin Security Advisory (CVE-2022-26135)

要約	Jira Data Center および Jira Server 用の Mobile Plugin における、完全な読み取り権を持つサーバー・サイド・リクエスト・フォージェリ (CVE-2022-26135)
アドバイザリのリリース日	Jun 30, 2022 午前 2時 (JST)
対象製品	Jira Core Server Jira Software Server / Data Center Jira Service Management Server / Data Center
影響を受けるバージョン	Jira Core Server Jira Software Server/ Data Center 8.0 以降から 8.13.21 以前のすべてのバージョン 8.14.x 8.15.x 8.16.x 8.17.x 8.18.x 8.19.x 8.20.0 - 8.20.9 8.21.x 8.22.0 - 8.22.3 Jira Service Management Server/ Data Center 4.0 以降から 4.13.21 以前のすべてのバージョン 4.14.x 4.15.x 4.16.x 4.17.x 4.18.x 4.19.x 4.20.0 - 4.20.9 4.21.x 4.22.0 - 4.22.3
修正されたバージョン	Jira Core Server Jira Software Server/ Data Center 8.13.22 8.20.10 8.22.4 9.0.0 Jira Service Management Server/ Data Center 4.13.22 4.20.10 4.22.4 5.0.0
CVE ID(s)	CVE-2022-26135

脆弱性の概要

Atlassian 社は、本脆弱性のセキュリティ問題の深刻度を High レベルと評価しています。

Jira Server および Data Center の 8.13.21 までのバージョン、8.14.0 から 8.20.9 までのバージョン、8.21.0 から 8.22.3 までのバージョンが本脆弱性の影響を受けます。
Jira Service Management Server および Data Center の 4.13.21 までのバージョン、4.14.0 から 4.20.9 までのバージョン、バージョン 4.21.0 から 4.22.3 までのバージョンがこの脆弱性の影響を受けます。

「影響を受けるバージョン」に記載されたバージョンをダウンロードおよびインストールしているすべてのお客様が、この脆弱性を修正するために、ご利用の環境をアップグレードする必要があります。
ご利用の環境を即座にアップグレードしてください。

脆弱性の説明

Jira と Jira Service Management にバンドルされている Mobile Plugin for Jira に、完全な読み取り権を持つサーバー・サイド・リクエスト・フォージェリが存在します。
この脆弱性は、すべての認証済みユーザー (サインアップ機能で参加したユーザーを含む) が悪用できます。
特に、 Mobile Plugin for Jira で使われているバッチ HTTP エンドポイントに影響します。脆弱なエンドポイントの body で method パラメーターを通じて、意図した URL の HTTP メソッドやロケーションを制御できます。

上記に記載した「修正されたバージョン」よりも前のすべての Jira および Jira Service Management がこの脆弱性の影響を受けます。

この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/JRASERVER-73863　https://jira.atlassian.com/browse/JSDSERVER-11840

対応策

この脆弱性に対応するために、以下の修正バージョンをリリースしました。

Jira Core Server、Jira Software Server、 Jira Software Data Center
- 8.13.22
- 8.20.10
- 8.22.4
- 9.0.0
Jira Service Management Server/ Data Center
- 4.13.22
- 4.20.10
- 4.22.4
- 5.0.0

Jira Core、Jira Software、または Jira Service Management のダウンロードページから最新バージョンをダウンロードし、上記の修正バージョンへの製品アップグレードをお願いします。

上記のバージョンは、CVE-2022-26135 の修正を含む最初のバージョンです。上記に記載されたリリースについては、より最新のバグ修正リリースが提供されています。アトラシアン社では最新のバグ修正バージョンへのアップグレードを推奨しています。

軽減策

CVE-2022-26135 に対応するための最も確実な方法は、Jira または Jira Service Management の修正済みバージョンのインストールです。
Jira または Jira Service Management を即座にアップグレードすることができない場合、一時的な回避策として、Mobile Plugin for Jira Data Center and Server (com.atlassian.jira.mobile.jira-mobile-rest) をこのセクションで指定したバージョンにアップグレードして本脆弱性の影響を軽減できます (もしくはアプリを無効化 )。

以下の Mobile Plugin for Jira アプリのバージョンに、本脆弱性の修正が含まれます。

3.2.15 (Jira 8.3.x - 8.22.4 と互換、Jira Service Management 4.3.x - 4.22.4 と互換)

アプリのアップグレード手順は、以下のいずれかで実施できます。

シナリオ A：「ユーザーのインストールによるアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合

Jira 管理 > アプリの管理で「ユーザーのインストールによるアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合、[更新] をクリックしますと、最新版へアップグレードされます。

シナリオ B：「システムアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合

Jira 管理 > アプリの管理で「システムアプリ」カテゴリに Mobile Plugin for Jira アプリが存在する場合、以下の手順でアプリをアップグレードします。（Jira の再起動は不要です）

Atlassian Marketplace からご利用のJira バージョンと互換性がある修正バージョンのアプリをダウンロードします。 ( JAR ファイルとして保存されます)
Jira 管理 > アプリの管理で「アプリをアップロード」をクリックします。
1 で入手した JAR ファイルをアップロードします。
インストールした後に、新しいバージョンが「ユーザーのインストールによるアプリ」カテゴリに表示されていることを確認します。