Jira Data Center & Jira Service Management Data Center Security Advisory 2021-07-21 日本語訳

Jira Data Center および Jira Service Management Data Center - Ehcache RMI の認証欠落 (CVE-2020-36239)

脆弱性の概要

このアドバイザリでは、Jira Data Center / Jira Software Data Center および Jira Service Management Data Center (4.14 以前は Jira Service Desk) のバージョン 6.3.0 における重大なセキュリティ脆弱性を発表します。
影響を受ける Jira Data Center および Jira Service Management Data Center のバージョンは、上記の表に記載されています (「影響するバージョン」を参照)。

脆弱性の説明

Jira Data Center / Jira Software Data Center および Jira Service Management Data Center は、Ehcache RMI ネットワークサービスを公開しています。このサービスに接続できる攻撃者は、ポート 40001 および潜在的に 40011 (対象ポートの詳細は [0] [1] [2] に記載しています) で、認証漏れの脆弱性により、デシリアライゼーションを通じて Jira で任意のコードを実行できます。Atlassian は、Ehcache ポートへのアクセスを Data Center インスタンスのみに制限することを強く推奨していますが、修正バージョンの Jira では、Ehcache サービスへのアクセスを許可するために共有秘密キーが必要になります。

[0] Jira Data Center / Jira Software Data Center の 7.13.1 より前のバージョンでは、Ehcache オブジェクト ポートがランダムに割り当てられることがあります。

[1] Jira Service Management Data Center の 3.16.1 より前のバージョンでは、Ehcache オブジェクト ポートがランダムに割り当てられることがあります。

[2] Ehcache のデフォルトのポートは40001ですが、別のポートに設定できます。詳細は、Jira Data Center のインストール - Cluster.properties ファイルのパラメーター をご確認ください。

この脆弱性の影響を受ける Jira Data Center / Jira Software Data Center のバージョンは以下の通りです。

• バージョン 6.3.0 から8.5.15
• バージョン 8.6.0 から 8.13.7
• バージョン 8.14.0 から 8.16.2 

この脆弱性の影響を受ける Jira Service Management Data Center のバージョンは以下の通りです。

• バージョン 2.0.2 から 4.5.15
• バージョン 4.6.0 から 4.13.7
• バージョン 4.14.0 から 4.16.2 

修正

これらの問題に対処するために下記のバージョンをリリースしました。

Jira Data Center / Jira Software Data Center

• この問題の修正を含む 8.5.16

• この問題の修正を含む 8.13.8

• この問題の修正を含む 8.17.0

Jira Service Management Data Center

• この問題の修正を含む 4.5.16

• この問題の修正を含む 4.13.8

• この問題の修正を含む 4.17.0

これらのバージョンは以下のサイトでダウンロードできます。

• Jira Software Data Center: https://www.atlassian.com/software/jira/update

• Jira Service Management Data Center: https://www.atlassian.com/software/jira/service-management/update

あなたがすべきこと

Atlassian では、最新のバージョンにアップグレードすることをお勧めします。また、こちらの手順とこのページの 緩和策 にある情報に従って、Ehcache RMI ポートへのアクセスを制限することをお勧めします。
最新バージョンの詳細については、Jira Data Center のリリースノート (こちら)、Jira Software Data Center のリリースノート (こちら)、Jira Service Management Data Center のリリースノート (こちら)をご覧ください。
Jira Data Center および Jira Service Management Data Center の最新バージョンは、ダウンロード センター (Jira Data Center | Jira Service Management Data Center) からダウンロードできます。

• Jira Data Center をバージョン 8.17.0 以降にアップグレードしてください。8.17.0 にアップグレードできない場合は、8.5.16 または 8.13.8 にアップグレードしてください。
  
  
• Jira Service Management Data Center をバージョン 4.17.0 以降にアップグレードしてください。4.17.0 にアップグレードできない場合は、4.5.16 または 4.13.8 にアップグレードしてください。

緩和策

ファイアウォールまたは同様の機能を使用して、Jira Data Center / Jira Software Data Center および Jira Service Management Data Center クラスタ インスタンス の Ehcache RMI ポートへのアクセスを制限します。

Jira Data Center / Jira Software Data Center バージョン 7.13.1 以降で制限が必要なポートは次のとおりです。

• port 40001

• port 40011

• Jira Data Center のインストール - Cluster.properties ファイルのパラメーター設定 で、デフォルトの Ehcache のポートから別のポートへ変更された場合は、Ehcache RMI で利用するために指定したポートへのアクセスを制限する必要があります

Jira Data Center / Jira Software Data Center バージョン 7.13.0 以前で制限する必要のあるポートは次のとおりです。

• port 40001

• port 40011

• 1024 - 65536の範囲のポート（バージョン7.3.1 以降では、https://jira.atlassian.com/browse/JRASERVER-66608 に記載されている回避策を適用することで、これらのポートへのアクセスを制限する必要がなくなります）
• Jira Data Center のインストール - Cluster.properties ファイルのパラメーター設定 で、デフォルトの Ehcache のポートから別のポートへ変更された場合は、Ehcache RMI で利用するために指定したポートへのアクセスを制限する必要があります

Jira Service Management Data Center バージョン 3.16.1 以降で制限が必要なポートは次のとおりです。

• port 40001

• port 40011

Jira Service Management Data Center バージョン 3.16.0 以前で制限する必要のあるポートは次のとおりです。

• port 40001

• port 40011

• 1024～65536の範囲のポート（バージョン3.3.1 以降では、https://jira.atlassian.com/browse/JRASERVER-66608 に記載されている回避策を適用することで、これらのポートへのアクセスを制限する必要がなくなります）
• Jira Data Center のインストール - Cluster.properties ファイルのパラメーター設定 で、デフォルトの Ehcache のポートから別のポートへ変更された場合は、Ehcache RMI で利用するために指定したポートへのアクセスを制限する必要があります