Jira Service Management Data Center/Server および Assets アプリの 重大な外部実体参照 (XXE) を利用した脆弱性 - CVE-2019-13990 2023-10-18 日本語訳
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年10月18日時点の情報です)
目次
Jira Service Management Data Center/Server および Assets アプリの重大な外部実体参照 (XXE) を利用した脆弱性 - CVE-2019-13990
要約 | CVE-2019-13990 |
---|---|
アドバイザリのリリース日 | Oct 18, 2023 午前 2時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2019-13990 |
Atlassian 社の不具合チケット |
脆弱性の説明
Jira Service Management Server/Data Center および Assets アプリのの特定のバージョンにおいて CVE-2019-13990 脆弱性を受けることを Atlassian 社が発表しました。
影響を受けるバージョン の Jira Service Management Server/Data Center および および Assets アプリには、Terracotta Quartz Scheduler の脆弱なバージョンが含まれており、認証された攻撃者がジョブの記述を使用して 外部実体参照 (XEE) インジェクション攻撃を開始できるようになっています。
Atlassian 社は、NVD vulnerability score に基づき、重大レベルのセキュリティアドバイザリを公開することを約束しています。
本ケースではこの Terracotta Quartz Scheduler のベンダーの CVE の CVSS は重大(9.8)ですが、このスコアは Atlassian 社のソフトウェアで使用されているコンテキストを考慮していません。
Jira への認証済みユーザー(カスタマー除く、Assets を利用できるユーザー)がこの脆弱性を悪用できます。
そのため、Atlassian 社内部では、本脆弱性の深刻度を 「高」と評価しています。
Jira Service Management Cloud は本脆弱性の対象外です。
深刻度
NVD はこの脆弱性の深刻度を「重大(Critical)」と評価していますが、Atlassian 社は内部評価により、この脆弱性の深刻度を「高(8.4、CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)」と評価しています。
影響を受けるバージョン
今回の XXE (外部実体参照のインジェクション攻撃) 脆弱性は、Jira Service Management Data Center および Server の すべてのバージョン(修正済みバージョン以外)、Assets アプリ(修正済みバージョン以外) に影響します。
Atlassian 社は 長期サポートリリースバージョン以降へのアップグレードを推奨しています。
Jira Service Management
製品 | 影響を受けるバージョン |
---|---|
Jira Service Management Data Center Jira Service Management Server |
|
Assets (Insight) アプリ
以下の製品とバージョンに Assets (Insight) アプリをインストールして利用している場合に本脆弱性の影響を受けます。
Jira Service Management Server/Data Center の修正済みバージョン以外
Jira Core (Server)
Jira Software (Server/Data Center)
製品 | 影響を受けるバージョン |
---|---|
Assets (Insight) for Jira Data Center Assets (Insight) for Jira Server |
|
必要なアクション
Atlassian 社では、影響を受けるバージョンをご利用の場合は、以下の修正済みバージョン(もしくはそれ以降のバージョン)へアップグレードすることを推奨しています。
修正済みバージョン
Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。
Jira Service Management
Jira Service Management Data Center と Jira Service Management Server の最新バージョンの詳細については、こちら のリリースノートをご覧ください。最新バージョンはダウンロードセンターからダウンロードできます。
製品 | 修正済みバージョン |
---|---|
Jira Service Management Data Center Jira Service Management Server |
|
Assets (Insight) アプリ
修正済みバージョンへアップグレードをお願いします。インストールファイルは以下リンクより入手できます。
https://marketplace.atlassian.com/apps/1212137/assets/version-history
製品 | 修正済みバージョン |
---|---|
Assets for Jira Data Center Assets for Jira Server |
|