Crowd Server/Data Center の重大なセキュリティ設定ミスの脆弱性 - CVE-2022-43782 2022-11-17 日本語訳

Owned by 眞一 芦田 (Deactivated)
2022/11/17
2 min read

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2022年11月17日時点の情報です)

目次

Crowd Server/Data Center の重大なセキュリティ設定ミスの脆弱性 - CVE-2022-43782

要約

重大なセキュリティ設定ミスの脆弱性

アドバイザリのリリース日

Nov 17, 2022 午前 2時 (JST)

対象製品

  • Crowd Server/Data Center

CVE ID(s)

  • CVE-2022-43782

脆弱性の概要

Atlassian 社は、このアドバイザリで、Crowd 3.0.0 で導入された重大なセキュリティ設定ミスの脆弱性について開示しています。3.0.0 以降にリリースされたすべてのバージョンが影響を受けますが、特定の条件の場合のみが該当します。(詳細は「脆弱性の説明」項をご確認ください)

この脆弱性により、攻撃者は許可リストにある IP アドレスから接続し、パスワードチェックをバイパスして crowd アプリケーションとして認証することができます。

本脆弱性の セキュリティ問題の深刻度重大 レベルと評価しています。

脆弱性の説明

Crowd 3.0.0 以降にリリースされたすべてのバージョンについて、以下の条件の両方に当てはまる場合のみ本脆弱性の影響を受けます。

  • この脆弱性は、影響を受けるバージョンの新規インストール(※1)のみが対象になります。以前のバージョン(ver.1.x、ver.2.x)からアップグレードした場合(例: バージョン 2.9.1 からバージョン 3.0.0 以降)、ご利用のインスタンスは影響を受けません。

    • 新規インストールとは、ダウンロードページからダウンロードしたものと同じバージョンで、ダウンロード後に一度もアップグレードされていない Crowd インスタンスを指します。

  • crowd アプリケーションのリモートアドレス構成(Remote addresses)に IP アドレスが追加されている場合に影響を受けます。(3.0.0以降のバージョンでは IP アドレスのデフォルトは none

この脆弱性により、攻撃者は許可リスト(Remote addresses)にある IP アドレスから接続し、パスワードチェックをバイパスして crowd アプリケーションとして認証することができます。これにより、攻撃者は Crowd の REST API の usermanagement パス下にある、本来は権限が要求されるエンドポイントを呼び出すことができます。つまり、リモートアドレス構成(Remote addresses)にある crowd アプリケーションの許可リストで指定された IP アドレスからのアクセスでのみ悪用が可能です。この脆弱性の影響を回避するために、Atlassian は以下の 「修正済みバージョン」 セクションに記載されているいずれかのバージョンにアップグレードすることを推奨します。

(※1)インスタンスが新規インストールかどうかは Crowd UI 上や データベースからは確認できません。過去のログファイルを確認してご判断ください。もしアップグレードを実施したかどうか不明な場合は、後述の対応策または緩和策を実施するようお願いいたします。

この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/CWD-5888

影響を受けるバージョン

3.0.0 以降にリリースされたすべてのバージョンについて、新規インストールされた Crowd インスタンスが影響を受けます。

  • Crowd 3.0.0 - Crowd 3.7.2

  • Crowd 4.0.0 - Crowd 4.4.3

  • Crowd 5.0.0 - Crowd 5.0.2

前述したように、新規インストールのみが脆弱性の影響を受けます。それより前のバージョンで新規インストールを実施し、上記のいずれかのバージョンにアップグレードを実施済みの場合、インスタンスは影響を受けません。例えば、バージョン 2.9.1 から 3.0.0 にアップグレードした場合等です。ただし、この場合、デフォルトのリモートアドレスはアップグレード後のバージョンである 3.0.0 に引き継がれます。これらは、crowd アプリケーションのリモートアドレス構成から削除できます。

なお、ユーザー管理に組み込みの Crowd を利用している他の Atlassian Data Center および Server 製品は影響を受けません。

修正済みバージョン

Crowd プラットフォームリリース

Bug fix リリース

Crowd プラットフォームリリース

Bug fix リリース

Crowd 3.0

このバージョンは廃止予定のため、修正プログラムは提供されません。Crowd 4.4.4 または 5.0.3 にアップグレードしてください。

Crowd 4.0

4.4.4 以降

Crowd 5.0

5.0.3 以降

対応策

Atlassian では、上記に記載されているいずれかの修正済みバージョンにインスタンスをアップグレードすることを推奨しています。Crowd の最新バージョン詳細については、リリースノートを参照してください。最新バージョンの Crowd は、ダウンロードセンターからダウンロードできます。よくある質問(FAQ)はこちらをご参照ください。

インスタンスが攻撃を受けたかどうかの確認方法

次のリソースを使用して、インスタンスが攻撃されたかどうかを確認できます。

アクセスログ

Crowd はデフォルトでアクセスログを提供しません。この情報は、脆弱性の悪用が発生する前にアクセスログを構成済みであった場合にのみ有効です。アクセスログを構成済みの場合、 Crowd に接続されている製品以外からの /usermanagement パスに対する呼び出しを絞り込むことが可能です。アクセスログの詳細については、Access logging for Crowd をご参照ください。

監査ログ(Data Center のみ)

Crowd の監査ログで、 crowd によって実行されたアクションを検索できます。監査ログの詳細については Browsing the audit log をご参照ください。

緩和策

上記の修正バージョンに記載されているバージョンに Crowd をアップグレードできない場合には、次の一時的な緩和策を実施してください。

リモートアドレスの削除

Crowd 製品内の crowd アプリケーション用リモートアドレスを削除または精査して、一時的に本脆弱性による影響を軽減できます。
リモートアドレスを削除するには、次の手順を実施します。

  1. Crowd 管理コンソールにログインします。

  2. 上部のナビゲーションバーで Applications をクリックします。

  3. アプリケーションブラウザで、 crowd アプリケーションを選択します。

  4. View Application 画面で、Remote Addresses タブをクリックします。

  5. 任意のリモートアドレスを削除します。

リモートアドレスに関する次の情報をご確認ください。

  • Crowd 3.0.0 以降の新規インストールでは、デフォルトでリモートアドレスは設定されていません。

  • 3.0.0 より前のバージョン、またはそれらのバージョンからアップグレードされたインスタンスの場合、デフォルトで複数のリモートアドレスが構成されている場合があります。これらのリモートアドレスは、デフォルトで存在していても削除してかまいません。

パスワードの変更

更に、crowd アプリケーションのパスワードを強力なものに変更することができます。これは、リモートアドレスを削除できない場合には特に有効です。

パスワードを変更するには、次の手順を実施します。

  1. Crowd 管理コンソールにログインします。

  2. 上部のナビゲーションバーで Applications をクリックします。

  3. アプリケーションブラウザで、 crowd アプリケーションを選択します。

  4. Details タブで、Change Password を選択します。

ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ