Git バッファオーバーフロー(複数の Atlassian 製品に影響)- CVE-2022-41903 CVE-2022-23521 2023-02-15 日本語訳

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年2月16日時点の情報です)

目次


Git バッファオーバーフロー(複数の Atlassian 製品に影響)CVE-2022-41903 CVE-2022-23521

要約

複数の Atlassian 製品へ影響のある Git のバッファオーバーフロー

アドバイザリのリリース日

Feb 16, 2023 午前 2時 (JST)

対象製品

  • Bitbucket Server および Data Center

  • Bamboo Server および Data Center

  • Fisheye

  • Crucible

  • Sourcetree

Atlassian Cloud サイトは影響を受けません。

Atlassian Cloud サイトへの修正は適用済みです。ご利用のサイト URL が http://bitbucket.org/ または atlassian.net ドメインの場合は、 Atlassian Cloud サイトです。

CVE ID(s)

  • CVE-2022-41903

  • CVE-2022-23521

脆弱性の概要

このアドバイザリでは、複数の Atlassian 製品に影響する Git における2つの重大なセキュリティ脆弱性を記載します。

CVE-2022-41903 - git archivegit log --format のヒープオーバーフロー

git log では、 --format を指定して任意のフォーマットでコミットを表示することができます。この機能は git archive でも export-subst gitattributes によって利用されています。

フォーマッティング ( %<(、%<|(、%>(、>>(、または%><( ) 時に padding operator を処理する際に int 型のオーバーフローが発生する可能性があります。このオーバーフローは、コミットのフォーマッティング machinery を呼び出すコマンドを実行するユーザーによって直接トリガーできます。もしくは git archive および export-subst メカニズム経由で間接的にトリガーすることもできます。

int 型のオーバーフローによって任意のヒープ書き込みが発生し、リモートコード実行につながる可能性があります。

CVE-2022-23531 - gitattributes パースにおける int 型オーバーフロー

gitattributes は、パスに対して属性を定義できる仕組みです。この属性はリポジトリに .gitattributes ファイルを追加することで定義でき、このファイルには、ファイルパターンと、そのパターンに一致するパスに設定されるべき属性が含まれています。

gitattributes をパースする際に、膨大な数のパスパターンがあったり、ひとつのパターンに対して膨大な数の属性があったり、宣言された属性名が膨大だったりすると、複数の int 型オーバーフローが発生する可能性があります。このようなオーバーフローは、コミット履歴の一部である細工された.gitattributes ファイルを介して引き起こされる可能性があります。

int 型オーバーフローによってヒープの任意の読み取りや書き込みが発生し、リモートコード実行につながる可能性があります。

深刻度

Atlassian 社はセキュリティ問題の深刻度で公開されているスケールに従って、この脆弱性の深刻度レベルを 重大 として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これは Atlassian 社の評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

影響を受ける製品

Bitbucket Server/Data Center

影響を受けるバージョン

Bitbucket Server および Bitbucket Data Center のすべてのバージョンが影響を受けます。

パッチの推奨

Git 構成

推奨事項

Git 構成

推奨事項

Git をご自身で構築しているお客様

アトラシアンでは、Git の最新のパッチ適用済みのサポート対象バージョンへのアップグレードを推奨します。

ご利用の Bitbucket のバージョンが Git v2.30.7+ をサポートするかどうかについては、サポート対象プラットフォームのページをご確認ください。

Bitbucket Server および Data Center <7.9 をご利用のお客様は、Git のパッチ適用済みバージョンをサポートするために Bitbucket を新しいバージョンにアップグレードする必要があります。

ただし、Bitbucket 7.6 を実行しているお客様については、Git v2.30.7 が動作することを Bitbucket チームがテストおよび確認しています。

Bitbucket の Docker イメージをご利用のお客様

Bitbucket のサポートライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。

イメージを再ダウンロードして最新の変更をプルしてください。

同様に、特定の Bitbucket イメージをハッシュに紐付けているお客様は、対応するイメージタグに関連付けられた最新のハッシュバージョンへの更新が必要です。

Git for Windows をご利用のお客様

Bitbucket チームにより、Git v2.39.x のサポートが追加されたバージョンv7.21.9 がリリースされています。

最新のパッチ済みのサポート対象バージョンの Git に更新してください。

現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。

Bamboo Server/Data Center

影響を受けるバージョン

Bamboo のすべてのバージョンが影響を受けます。

パッチの推奨

Git 構成

推奨事項

Git 構成

推奨事項

Git をご自身で構築しているお客様

アトラシアンでは、Bamboo サーバーとリモートエージェントにおける Git を最新のパッチ適用済みのサポート対象バージョンに更新することを推奨します。

ご利用の Bamboo のバージョンが Git v2.30.7+ をサポートするかどうかについては、サポート対象プラットフォームのページをご確認ください。

Bamboo の Docker イメージをご利用のお客様

サポートライフサイクル内のすべてのイメージが、Git のパッチ適用済みバージョンを利用するよう更新されています。

イメージを再ダウンロードして最新の変更をプルしてください。

同様に、特定の Bamboo イメージをハッシュに紐付けているお客様は、対応するイメージタグに関連付けられた最新のハッシュバージョンへの更新が必要です。

Elastic Bamboo をご利用のお客様

今後の Bamboo 9.13 リリースのサポート対象リージョンにおいて、Linux および Windows 用のパッチ済みの Git バージョンを含む新しい AMI が用意されています。このリリースを待つことが難しいお客様は、既存のイメージ設定画面で Git を更新する行をイメージのスタートアップスクリプトに追加するか、公式リリースに先立って AMI をダウンロードおよび利用できます。

Git for Windows をご利用のお客様

Git for Windows の最新バージョンに更新してください。

現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。

Fisheye Server

影響を受けるバージョン

Fisheye のすべてのバージョンが影響を受けます。

パッチの推奨

Git 構成

推奨事項

Git 構成

推奨事項

Git をご自身で構築しているお客様

アトラシアンでは、Git を最新のパッチ適用済みのサポート対象バージョンに更新することを推奨します。

ご利用の Fisheye のバージョンが Git v2.30.7+ をサポートするかどうかについては、サポート対象プラットフォームのページをご確認ください。

Fisheye のDockerイメージをご利用のお客様

サポートライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。

イメージを再ダウンロードして最新の変更をプルしてください。

同様に、特定の Fisheye イメージをハッシュに紐付けているお客様は、対応するイメージタグに関連付けられた最新のハッシュバージョンへの更新が必要です。

Git for Windowsをご利用のお客様

Git for Windows の最新バージョンに更新してください。

現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。

Crucible Server

影響を受けるバージョン

Crucible のすべてのバージョンが影響を受けます。

パッチの推奨

Git 構成

推奨事項

Git 構成

推奨事項

Git をご自身で提供しているお客様

アトラシアンでは、Git を最新のパッチ適用済みのサポート対象バージョンに更新することを推奨します。

ご利用の Crucible のバージョンが Git v2.30.7+ をサポートするかどうかについては、サポート対象プラットフォームのページをご確認ください。

Crucible の Docker イメージをご利用のお客様

サポートライフサイクル内のすべてのイメージが、Git のパッチ済みバージョンを利用するよう更新されています。

イメージを再ダウンロードして最新の変更をプルしてください。

同様に、特定の Crucible イメージをハッシュに紐付けているお客様は、対応するイメージタグに関連付けられた最新のハッシュバージョンへの更新が必要です。

Git for Windows をご利用のお客様

Git for Windows の最新バージョンに更新してください。

現時点で、Git for Windows でこれらの脆弱性について修正をバックポートする予定はありません。

Sourcetree

影響を受けるバージョン

Sourcetree for Mac と Sourcetree for Windows のすべてのバージョンが脆弱性の影響を受けます。

修正済みバージョン

現在 Sourcetree チームが、埋め込みの Git バイナリを次の製品リリースバージョンで v2.39.1 に更新する対応に取り組んでいます。

  • Mac: v4.2.2

  • Windows: v3.4.12

軽減策

Sourcetree チームが埋め込みの Git バイナリの更新に対応している間、パッチ済みのシステム Git バージョンを利用するように Sourcetreeを切り替える ことを推奨します。

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。


Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ