Bitbucket ServerおよびData Center - 重大な深刻度のコマンドインジェクションの脆弱性 - CVE-2022-43781 日本語訳
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2022年11月17日時点の情報です)
Bitbucket Server and Data Center Security Advisory 2022-11-16
Bitbucket ServerおよびData Center - 重大な深刻度のコマンドインジェクションの脆弱性 - CVE-2022-43781
要約 | CVE-2022-43781 - コマンドインジェクションの脆弱性 |
|---|---|
アドバイザリのリリース日 | Nov 17, 2022 午前 2時 (JST) |
対象製品 |
|
影響を受けるバージョン |
|
修正されたバージョン |
|
CVE ID(s) |
|
脆弱性の説明
深刻度
アトラシアン社は アトラシアンの深刻度レベル で公開されている尺度に従って、この脆弱性の深刻度レベルを重大として評価しています。
脆弱性の概要
この勧告は、Bitbucket Data Center および Server のバージョン7.0.0で追加されたクリティカルなセキュリティ脆弱性を開示するものです。以下のバージョンがこの脆弱性の影響を受けます。
Bitbucket Data Center および Server 7.0から7.21
Bitbucket Data Center および Server 8.0から8.4 (
bitbucket.propertiesファイルでmesh.enabled=falseが設定されている場合
※ PostgreSQL データベースを利用している Bitbucket Data Center および Server は、本脆弱性の影響を受けません。
説明
Linux 上で実行されている Bitbucket Data Center および Server の環境変数を利用するコマンドインジェクションの脆弱性があります。ユーザー名を制御できる攻撃者はこの問題を悪用して、システム上でコードを実行できます。ユーザー名を制御できる攻撃者は以下の通りとなります。
自身のユーザー名を設定できる人 (パブリックサインアップで可能)
認証済みの管理者・システム管理者 (ユーザー自身だけでなく他人のユーザー名も変更できる権限を持つ人)
この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/BSERV-13522
脆弱性の対応について
対応策
アトラシアンは、影響を受けるすべての環境を、上記に記載された修正済みバージョン (あるいはそれ以降の任意のバージョン) にアップグレードすることを推奨します。
最新の Bitbucket Data Center および Server の最新バージョンの説明についてはリリースノートをご確認ください。Bitbucket の最新バージョンをダウンロードセンターからダウンロードできます。
よくある質問 (FAQ) についてはこちらをクリックしてください。
緩和策
ご利用の Bitbucket インスタンスをアップグレードできない場合、一時的な軽減策として「パブリックサインアップ」を無効化して対応します。パブリックサインアップを無効化すると、未認証ユーザーの攻撃ではなく、認証済みユーザーの攻撃のみとなり、情報漏えいのリスクを減らすことができます。
この設定を無効化するには管理 > 認証に移動してパブリックサインアップを許可チェックボックスのチェックを外します。
認証済みの管理者またはシステム管理者ユーザーは、パブリックサインアップが無効化された状態でも脆弱性を悪用できます。このため、この軽減策は一時的なものと見なす必要があり、お客様には可能な限り迅速に修正済みバージョンにアップグレードすることが推奨されます。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ