Git バッファオーバーフロー(複数の Atlassian 製品に影響)- CVE-2022-41903 CVE-2022-23521 2023-02-15 日本語訳
- Hanayo Minamisawa [Ricksoft]
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年2月16日時点の情報です)
目次
- 1 Git バッファオーバーフロー(複数の Atlassian 製品に影響)CVE-2022-41903 CVE-2022-23521
- 2 脆弱性の概要
- 3 深刻度
- 4 影響を受ける製品
- 4.1 Bitbucket Server/Data Center
- 4.1.1 影響を受けるバージョン
- 4.1.2 パッチの推奨
- 4.2 Bamboo Server/Data Center
- 4.2.1 影響を受けるバージョン
- 4.2.2 パッチの推奨
- 4.3 Fisheye Server
- 4.3.1 影響を受けるバージョン
- 4.3.2 パッチの推奨
- 4.4 Crucible Server
- 4.4.1 影響を受けるバージョン
- 4.4.2 パッチの推奨
- 4.5 Sourcetree
- 4.5.1 影響を受けるバージョン
- 4.5.2 修正済みバージョン
- 4.5.3 軽減策
- 4.1 Bitbucket Server/Data Center
Git バッファオーバーフロー(複数の Atlassian 製品に影響)CVE-2022-41903 CVE-2022-23521
要約 | 複数の Atlassian 製品へ影響のある Git のバッファオーバーフロー |
|---|---|
アドバイザリのリリース日 | Feb 16, 2023 午前 2時 (JST) |
対象製品 |
Atlassian Cloud サイトは影響を受けません。 Atlassian Cloud サイトへの修正は適用済みです。ご利用のサイト URL が http://bitbucket.org/ または atlassian.net ドメインの場合は、 Atlassian Cloud サイトです。 |
CVE ID(s) |
|
脆弱性の概要
このアドバイザリでは、複数の Atlassian 製品に影響する Git における2つの重大なセキュリティ脆弱性を記載します。
CVE-2022-41903 - git archive、git log --format のヒープオーバーフロー
git log では、 --format を指定して任意のフォーマットでコミットを表示することができます。この機能は git archive でも export-subst gitattributes によって利用されています。
フォーマッティング ( %<(、%<|(、%>(、>>(、または%><( ) 時に padding operator を処理する際に int 型のオーバーフローが発生する可能性があります。このオーバーフローは、コミットのフォーマッティング machinery を呼び出すコマンドを実行するユーザーによって直接トリガーできます。もしくは git archive および export-subst メカニズム経由で間接的にトリガーすることもできます。
int 型のオーバーフローによって任意のヒープ書き込みが発生し、リモートコード実行につながる可能性があります。
CVE-2022-23531 - gitattributes パースにおける int 型オーバーフロー
gitattributes は、パスに対して属性を定義できる仕組みです。この属性はリポジトリに .gitattributes ファイルを追加することで定義でき、このファイルには、ファイルパターンと、そのパターンに一致するパスに設定されるべき属性が含まれています。
gitattributes をパースする際に、膨大な数のパスパターンがあったり、ひとつのパターンに対して膨大な数の属性があったり、宣言された属性名が膨大だったりすると、複数の int 型オーバーフローが発生する可能性があります。このようなオーバーフローは、コミット履歴の一部である細工された.gitattributes ファイルを介して引き起こされる可能性があります。
int 型オーバーフローによってヒープの任意の読み取りや書き込みが発生し、リモートコード実行につながる可能性があります。
深刻度
Atlassian 社はセキュリティ問題の深刻度で公開されているスケールに従って、この脆弱性の深刻度レベルを 重大 として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これは Atlassian 社の評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
影響を受ける製品
Bitbucket Server/Data Center
影響を受けるバージョン
Bitbucket Server および Bitbucket Data Center のすべてのバージョンが影響を受けます。
パッチの推奨
Git 構成 | 推奨事項 |
|---|---|
Git をご自身で構築しているお客様 | アトラシアンでは、Git の最新のパッチ適用済みのサポート対象バージョンへのアップグレードを推奨します。 ご利用の Bitbucket のバージョンが Git v2.30.7+ をサポートするかどうかについては、サポート対象プラットフォームのページをご確認ください。 Bitbucket Server および Data Center <7.9 をご利用のお客様は、Git のパッチ適用済みバージョンをサポートするために Bitbucket を新しいバージョンにアップグレードする必要があります。 ただし、Bitbucket 7.6 を実行しているお客様については、Git v2.30.7 が動作することを Bitbucket チームがテストおよび確認しています。 |
Bitbucket の Docker イメージをご利用のお客様 | Bitbucket のサポートライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。 イメージを再ダウンロードして最新の変更をプルしてください。 同様に、特定の Bitbucket イメージをハッシュに紐付けているお客様は、対応するイメージタグに関連付けられた最新のハッシュバージョンへの更新が必要です。 |
Git for Windows をご利用のお客様 | Bitbucket チームにより、Git v2.39.x のサポートが追加されたバージョンv7.21.9 がリリースされています。 最新のパッチ済みのサポート対象バージョンの Git に更新してください。 現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。 |
Bamboo Server/Data Center
影響を受けるバージョン
Bamboo のすべてのバージョンが影響を受けます。
パッチの推奨
Git 構成 | 推奨事項 |
|---|---|
Git をご自身で構築しているお客様 | アトラシアンでは、Bamboo サーバーとリモートエージェントにおける Git を最新のパッチ適用済みのサポート対象バージョンに更新することを推奨します。 ご利用の Bamboo のバージョンが Git v2.30.7+ をサポートするかどうかについては、サポート対象プラットフォームのページをご確認ください。 |
Bamboo の Docker イメージをご利用のお客様 | サポートライフサイクル内のすべてのイメージが、Git のパッチ適用済みバージョンを利用するよう更新されています。 イメージを再ダウンロードして最新の変更をプルしてください。 同様に、特定の Bamboo イメージをハッシュに紐付けているお客様は、対応するイメージタグに関連付けられた最新のハッシュバージョンへの更新が必要です。 |
Elastic Bamboo をご利用のお客様 | 今後の Bamboo 9.13 リリースのサポート対象リージョンにおいて、Linux および Windows 用のパッチ済みの Git バージョンを含む新しい AMI が用意されています。このリリースを待つことが難しいお客様は、既存のイメージ設定画面で Git を更新する行をイメージのスタートアップスクリプトに追加するか、公式リリースに先立って AMI をダウンロードおよび利用できます。 |
Git for Windows をご利用のお客様 | Git for Windows の最新バージョンに更新してください。 現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。 |
Fisheye Server
影響を受けるバージョン
Fisheye のすべてのバージョンが影響を受けます。
パッチの推奨
Git 構成 | 推奨事項 |
|---|---|
Git をご自身で構築しているお客様 | アトラシアンでは、Git を最新のパッチ適用済みのサポート対象バージョンに更新することを推奨します。 ご利用の Fisheye のバージョンが Git v2.30.7+ をサポートするかどうかについては、サポート対象プラットフォームのページをご確認ください。 |
Fisheye のDockerイメージをご利用のお客様 | サポートライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。 イメージを再ダウンロードして最新の変更をプルしてください。 同様に、特定の Fisheye イメージをハッシュに紐付けているお客様は、対応するイメージタグに関連付けられた最新のハッシュバージョンへの更新が必要です。 |
Git for Windowsをご利用のお客様 | Git for Windows の最新バージョンに更新してください。 現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。 |
Crucible Server
影響を受けるバージョン
Crucible のすべてのバージョンが影響を受けます。
パッチの推奨
Git 構成 | 推奨事項 |
|---|---|
Git をご自身で提供しているお客様 | アトラシアンでは、Git を最新のパッチ適用済みのサポート対象バージョンに更新することを推奨します。 ご利用の Crucible のバージョンが Git v2.30.7+ をサポートするかどうかについては、サポート対象プラットフォームのページをご確認ください。 |
Crucible の Docker イメージをご利用のお客様 | サポートライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。 イメージを再ダウンロードして最新の変更をプルしてください。 同様に、特定の Crucible イメージをハッシュに紐付けているお客様は、対応するイメージタグに関連付けられた最新のハッシュバージョンへの更新が必要です。 |
Git for Windows をご利用のお客様 | Git for Windows の最新バージョンに更新してください。 現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。 |
Sourcetree
影響を受けるバージョン
Sourcetree for Mac と Sourcetree for Windows のすべてのバージョンが脆弱性の影響を受けます。
修正済みバージョン
現在 Sourcetree チームが、埋め込みの Git バイナリを次の製品リリースバージョンで v2.39.1 に更新する対応に取り組んでいます。
Mac: v4.2.2
Windows: v3.4.12
軽減策
Sourcetree チームが埋め込みの Git バイナリの更新に対応している間、パッチ済みのシステム Git バージョンを利用するように Sourcetreeを切り替える ことを推奨します。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ