Jira Data Center & Jira Service Management Data Center Security Advisory 2021-07-21 日本語訳
Atlassian 社のセキュリティアドバイザリ
Jira Data Center および Jira Service Management Data Center - Ehcache RMI の認証欠落 (CVE-2020-36239)
要約 | CVE-2020-36239 - Ehcache RMI の認証欠落 |
---|---|
アドバイザリのリリース日 | 午前10時 (PDT) |
対象製品 |
Jira Software / Service Management Cloud のお客様は影響を受けません。 |
影響する Jira Data Center / Jira Software Data Center バージョン |
|
影響する Jira Service Management Data Center バージョン |
|
修正済の Jira Data Center / Jira Software Data Center バージョン |
|
修正済の Jira Service Management Data Center バージョン |
|
CVE ID(s) |
|
脆弱性の概要
このアドバイザリでは、Jira Data Center / Jira Software Data Center および Jira Service Management Data Center (4.14 以前は Jira Service Desk) のバージョン 6.3.0 における重大なセキュリティ脆弱性を発表します。
影響を受ける Jira Data Center および Jira Service Management Data Center のバージョンは、上記の表に記載されています (「影響するバージョン」を参照)。
上記の Jira Data Center / Jira Software Data Center および Jira Service Management Data Center の「影響するバージョン」をダウンロード・インストールしているお客様については、Jira Data Center / Jira Software Data Center および Jira Service Management Data Center をただちにアップグレードしてください
Atlassian Cloud は、このページに記載されている問題の影響を受けません。
Jira Server (Core & Software) および Jira Service Management Server 版は、このページに記載されている脆弱性の影響を受けません。
以下のバージョンへアップグレードしたお客様は影響を受けません。
Jira Data Center / Jira Software Data Center
8.5.16
8.13.8
8.17.0
Jira Service Management Data Center
4.5.16
4.13.8
4.17.0
脆弱性の説明
Jira Data Center / Jira Software Data Center および Jira Service Management Data Center は、Ehcache RMI ネットワークサービスを公開しています。このサービスに接続できる攻撃者は、ポート 40001 および潜在的に 40011 (対象ポートの詳細は [0] [1] [2] に記載しています) で、認証漏れの脆弱性により、デシリアライゼーションを通じて Jira で任意のコードを実行できます。Atlassian は、Ehcache ポートへのアクセスを Data Center インスタンスのみに制限することを強く推奨していますが、修正バージョンの Jira では、Ehcache サービスへのアクセスを許可するために共有秘密キーが必要になります。
[0] Jira Data Center / Jira Software Data Center の 7.13.1 より前のバージョンでは、Ehcache オブジェクト ポートがランダムに割り当てられることがあります。
[1] Jira Service Management Data Center の 3.16.1 より前のバージョンでは、Ehcache オブジェクト ポートがランダムに割り当てられることがあります。
[2] Ehcache のデフォルトのポートは40001ですが、別のポートに設定できます。詳細は、Jira Data Center のインストール - Cluster.properties ファイルのパラメーター をご確認ください。
この脆弱性の影響を受ける Jira Data Center / Jira Software Data Center のバージョンは以下の通りです。
- バージョン 6.3.0 から8.5.15
- バージョン 8.6.0 から 8.13.7
- バージョン 8.14.0 から 8.16.2
この脆弱性の影響を受ける Jira Service Management Data Center のバージョンは以下の通りです。
- バージョン 2.0.2 から 4.5.15
- バージョン 4.6.0 から 4.13.7
- バージョン 4.14.0 から 4.16.2
修正
これらの問題に対処するために下記のバージョンをリリースしました。
Jira Data Center / Jira Software Data Center
この問題の修正を含む 8.5.16
この問題の修正を含む 8.13.8
この問題の修正を含む 8.17.0
Jira Service Management Data Center
この問題の修正を含む 4.5.16
この問題の修正を含む 4.13.8
この問題の修正を含む 4.17.0
これらのバージョンは以下のサイトでダウンロードできます。
Jira Software Data Center: https://www.atlassian.com/software/jira/update
Jira Service Management Data Center: https://www.atlassian.com/software/jira/service-management/update
あなたがすべきこと
Atlassian では、最新のバージョンにアップグレードすることをお勧めします。また、こちらの手順とこのページの 緩和策 にある情報に従って、Ehcache RMI ポートへのアクセスを制限することをお勧めします。
最新バージョンの詳細については、Jira Data Center のリリースノート (こちら)、Jira Software Data Center のリリースノート (こちら)、Jira Service Management Data Center のリリースノート (こちら)をご覧ください。
Jira Data Center および Jira Service Management Data Center の最新バージョンは、ダウンロード センター (Jira Data Center | Jira Service Management Data Center) からダウンロードできます。
- Jira Data Center をバージョン 8.17.0 以降にアップグレードしてください。8.17.0 にアップグレードできない場合は、8.5.16 または 8.13.8 にアップグレードしてください。
- Jira Service Management Data Center をバージョン 4.17.0 以降にアップグレードしてください。4.17.0 にアップグレードできない場合は、4.5.16 または 4.13.8 にアップグレードしてください。
緩和策
ファイアウォールまたは同様の機能を使用して、Jira Data Center / Jira Software Data Center および Jira Service Management Data Center クラスタ インスタンス の Ehcache RMI ポートへのアクセスを制限します。
Data Center のクラスタノードは、他のクラスタノードの Ehcache ポートへは引き続き接続できる必要があります。
Jira Data Center / Jira Software Data Center バージョン 7.13.1 以降で制限が必要なポートは次のとおりです。
port 40001
port 40011
- Jira Data Center のインストール - Cluster.properties ファイルのパラメーター設定 で、デフォルトの Ehcache のポートから別のポートへ変更された場合は、Ehcache RMI で利用するために指定したポートへのアクセスを制限する必要があります
Jira Data Center / Jira Software Data Center バージョン 7.13.0 以前で制限する必要のあるポートは次のとおりです。
port 40001
port 40011
- 1024 - 65536の範囲のポート(バージョン7.3.1 以降では、https://jira.atlassian.com/browse/JRASERVER-66608 に記載されている回避策を適用することで、これらのポートへのアクセスを制限する必要がなくなります)
- Jira Data Center のインストール - Cluster.properties ファイルのパラメーター設定 で、デフォルトの Ehcache のポートから別のポートへ変更された場合は、Ehcache RMI で利用するために指定したポートへのアクセスを制限する必要があります
Jira Service Management Data Center バージョン 3.16.1 以降で制限が必要なポートは次のとおりです。
port 40001
port 40011
Jira Service Management Data Center バージョン 3.16.0 以前で制限する必要のあるポートは次のとおりです。
port 40001
port 40011
- 1024~65536の範囲のポート(バージョン3.3.1 以降では、https://jira.atlassian.com/browse/JRASERVER-66608 に記載されている回避策を適用することで、これらのポートへのアクセスを制限する必要がなくなります)
- Jira Data Center のインストール - Cluster.properties ファイルのパラメーター設定 で、デフォルトの Ehcache のポートから別のポートへ変更された場合は、Ehcache RMI で利用するために指定したポートへのアクセスを制限する必要があります
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ