Jira Service Management Data Center/Server および Assets アプリの 重大な外部実体参照 (XXE) を利用した脆弱性 - CVE-2019-13990 2023-10-18 日本語訳

Owned by Hanayo Minamisawa [Ricksoft]
2023/10/19

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年10月18日時点の情報です)

目次

Jira Service Management Data Center/Server および Assets アプリの重大な外部実体参照 (XXE) を利用した脆弱性 - CVE-2019-13990

要約

CVE-2019-13990

アドバイザリのリリース日

Oct 18, 2023 午前 2時 (JST)

対象製品

  • Jira Service Management Data Center

  • Jira Service Management Server

  • Assets (Insight) for Jira アプリ

CVE ID(s)

CVE-2019-13990

Atlassian 社の不具合チケット

脆弱性の説明

Jira Service Management Server/Data Center および Assets アプリのの特定のバージョンにおいて CVE-2019-13990 脆弱性を受けることを Atlassian 社が発表しました。
影響を受けるバージョン の Jira Service Management Server/Data Center および および Assets アプリには、Terracotta Quartz Scheduler の脆弱なバージョンが含まれており、認証された攻撃者がジョブの記述を使用して 外部実体参照 (XEE) インジェクション攻撃を開始できるようになっています。

Atlassian 社は、NVD vulnerability score に基づき、重大レベルのセキュリティアドバイザリを公開することを約束しています。
本ケースではこの Terracotta Quartz Scheduler のベンダーの CVE の CVSS は重大(9.8)ですが、このスコアは Atlassian 社のソフトウェアで使用されているコンテキストを考慮していません。
Jira への認証済みユーザー(カスタマー除く、Assets を利用できるユーザー)がこの脆弱性を悪用できます。
そのため、Atlassian 社内部では、本脆弱性の深刻度を 「高」と評価しています。

Jira Service Management Cloud は本脆弱性の対象外です。

深刻度

NVD はこの脆弱性の深刻度を「重大(Critical)」と評価していますが、Atlassian 社は内部評価により、この脆弱性の深刻度を「高(8.4、CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)」と評価しています。

影響を受けるバージョン

今回の XXE (外部実体参照のインジェクション攻撃) 脆弱性は、Jira Service Management Data Center および Server の すべてのバージョン(修正済みバージョン以外)、Assets アプリ(修正済みバージョン以外) に影響します。
Atlassian 社は 長期サポートリリースバージョン以降へのアップグレードを推奨しています。

Jira Service Management

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Jira Service Management Data Center

Jira Service Management Server

  • 4.19.x までのすべてのバージョン

  • 4.20.0 - 4.20.25

  • 4.21.x

  • 4.22.x

  • 5.0.x

  • 5.1.x

  • 5.2.x

  • 5.3.x

  • 5.4.0 - 5.4.9

  • 5.5.x

  • 5.6.x

  • 5.7.0 - 5.7.1

  • 5.8.0 - 5.8.1

  • 5.9.0 - 5.9.1

  • 5.10.0

Assets (Insight) アプリ

以下の製品とバージョンに Assets (Insight) アプリをインストールして利用している場合に本脆弱性の影響を受けます。

  • Jira Service Management Server/Data Center の修正済みバージョン以外

  • Jira Core (Server)

  • Jira Software (Server/Data Center)

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Assets (Insight) for Jira Data Center

Assets (Insight) for Jira Server

  • 8.11.0 - 8.11.1

  • 8.10.0 - 8.10.19

  • 8.9.x 以前のすべてのバージョン

必要なアクション

Atlassian 社では、影響を受けるバージョンをご利用の場合は、以下の修正済みバージョン(もしくはそれ以降のバージョン)へアップグレードすることを推奨しています。

修正済みバージョン

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。

Jira Service Management

Jira Service Management Data Center と Jira Service Management Server の最新バージョンの詳細については、こちら のリリースノートをご覧ください。最新バージョンはダウンロードセンターからダウンロードできます。

製品

修正済みバージョン

製品

修正済みバージョン

Jira Service Management Data Center

Jira Service Management Server

  • 4.20.26 以降

  • 5.10.1 以降

  • 5.4.10 以降

  • 5.7.2 以降

  • 5.8.2 以降

  • 5.9.2 以降

Assets (Insight) アプリ

修正済みバージョンへアップグレードをお願いします。インストールファイルは以下リンクより入手できます。

https://marketplace.atlassian.com/apps/1212137/assets/version-history

製品

修正済みバージョン

製品

修正済みバージョン

Assets for Jira Data Center

Assets for Jira Server

  • 8.11.2 以降

  • 8.10.20 以降

軽減策

すぐに Jira Service Management の修正済みバージョンにアップグレードできない場合は、以下の手順に従って Jira Service Management インスタンスで Assets を無効にすることで、本脆弱性を一時的に修正することができます。

Jira Service Management インスタンスのさまざまな種類やバージョンで Insight - Asset Management アプリをインストール、アンインストール、有効化、または無効化する方法

Assets 機能を無効にすると Assets機能すべてがご利用できなくなります。

無効化適用時に 一時的(5分程度)に Jira インスタンスが 500エラーで利用できなくなります。軽減策実施の際は、エンドユーザーへの事前アナウンスや利用者が少ない時間帯に実施をお願いします。
また、検証環境でお確かめの上、本番環境へ適用をお願いします。

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ