Atlassian 社のセキュリティアドバイザリ

JIRA Security Advisory 2019-07-10: Jira Server - Template injection in various resources - CVE-2019-11581

詳細情報

Jira Server - リソース内のテンプレートインジェクション - CVE-2019-11581

Summary	CVE-2019-11581 - Template injection in various resources
Advisory Release Date	10 July 2019, 10 AM PDT (Pacific Time, -7 hours)
Product	Jira Server and Jira Data Center 注意: Jira Software Server, Jira Core Server, Jira Service Desk Serverも影響を受けます。ここでは、Jira Core と Jira Software のバージョンを掲載しています。 Jira Service Desk の場合は、compatibility matrix で互換性のあるバージョンをご確認ください。
Affected Jira Versions	Jira Core, Jira Software 4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x <= version < 7.6.14 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.x <= version < 7.13.5 8.0.x <= version < 8.0.3 8.1.x <= version < 8.1.2 8.2.x <= version < 8.2.3	Jira ServiceDesk 3.0.x 3.1.x 3.2.x 3.3.x 3.4.x 3.5.x 3.6.x 3.7.x 3.8.x 3.9.0 <= version < 3.9.14 3.10.x 3.11.x 3.12.x 3.13.x 3.14.x 3.15.x 3.16.0 <= version < 3.16.5 4.0.0 <= version < 4.0.3 4.1.0 <= version < 4.1.2 4.2.0 <= version < 4.2.3
Fixed Jira Versions	7.6.14 7.13.5 8.0.3 8.1.2 8.2.3	3.9.14 3.16.5 4.0.3 4.1.2 4.2.3
CVE ID(s)	CVE-2019-11581

脆弱性の概要

このアドバイザリは、Jira Server/ Jira Data Center Data Centerのバージョン4.4.0で導入された重大なセキュリティの脆弱性を発表しています。

Jira Cloud は本脆弱性の影響を受けません。

Jira Server/ Jira Data Center Data Centerをバージョン 7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3 にアップグレードしたお客様は本脆弱性の影響を受けません。

以下の Jira Server / Data Centerバージョンをインストールしているお客様は影響を受けます：

4.4.x
5.x.x
6.x.x
7.0.x
7.1.x
7.2.x
7.3.x
7.4.x
7.5.x
7.6.x <= version < 7.6.14
7.7.x
7.8.x
7.9.x
7.10.x
7.11.x
7.12.x
7.13.x <= version < 7.13.5
8.0.x <= version < 8.0.3
8.1.x <= version < 8.1.2
8.2.x <= version < 8.2.3

この脆弱性を解決するために、Jira Server/ Jira Data Center Data Centerをただちにアップグレードしてください。

Jira Service Desk ver.3.0 - ver.4.2.2 をダウンロードしてインストールしているお客様は影響を受けます：

上記は、Jira Software とJira Core のバージョンを載せています。ご利用の Jira Service Desk と互換性のあるバージョンを確認するために compatibility matrixをご参照ください。

Template injection in various resources (CVE-2019-11581) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル（critical）と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Jira Server /Data CenterのContactAdministrators (管理者への問い合わせフォーム)とSendBulkMail (管理画面の「メールを送信」)の操作について、サーバーサイド・テンプレート・インジェクションが可能な脆弱性が発見されました。

この脆弱性を悪用するためには、少なくとも以下の何れかの条件を満たす必要があります。

　１．送信メールサーバー（SMTPサーバー）がJiraで設定されていて、「管理者への問合せフォーム」が有効になっている
　２．送信メールサーバー（SMTPサーバー）がJiraで設定されていて、攻撃者が「Jira管理者」権限を持ち、管理画面の「メールを送信」メニューへアクセスできる

一つ目の「管理者への問合せフォーム」が有効になっているケースでは、攻撃者が認証せずに脆弱性を悪用できます。
二つ目の脆弱性については、Jira管理者権限を持っている場合に脆弱性を悪用できます。

いずれのケースも本脆弱性の悪用に成功すると、脆弱性のあるJira Server / Data Center のバージョンで、攻撃者がリモートでコードを実行できます。

Jira Server / Data Center ver.4.4.0から 7.6.14(7.6.xの修正バージョン)より前、ver.7.7.0からver.7.13.5（ver.7.13.xの修正バージョン）より前、ver.8.0.0から8.0.3（ver.8.0.xの修正バージョン）より前、ver.8.1.0から8.1.2（ver.8.1.xの修正ーバージョン）より前、ver.8.2.0からver.8.2.3より前のすべてのバージョンが本脆弱性の影響を受けます。

あなたにしてほしいこと

緩和策

すぐにJiraをアップグレードできない場合は、一時的な対応策として以下のご対応をお願いします。

「管理者への問い合わせフォーム」を無効化　します
以下のエンドポイントをリバースプロキシ、ロードバランサ、またはTomcatで直接（設定手順）ブロックします。
・/secure/admin/SendBulkMail!default.jspa ・/admin/SendBulkMail!default.jspa
・/SendBulkMail!default.jspa

SendBulkMail エンドポイントをブロックすることで、Jira管理者がユーザーへメールを一括送信することを抑止します。

Jiraをアップグレード後は、「管理者への問合せフォーム」を再有効化し、SendBulkMailのエンドポイントのブロックを解除できます。

Jiraのアップグレード

Atlassian は最新のバージョンにアップグレードすることをお勧めします。Jira Server /Data Centerの最新バージョンの詳細については、リリースノートをご確認ください。
ダウンロードセンターからJira Server /Data Centerの最新バージョンをダウンロードできます。

Jira Server /Data Centerを ver.8.2.3 以上にアップグレードしてください。

最新バージョン 8.2.3 へアップグレードできない場合は:

(1) 現在のフィーチャーバージョン（2018年12月10日以降にリリースされたフィーチャーバージョン）をご利用の場合は、ご利用のフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。

以下のバージョンを利用している場合は...	以下のバージョンへアップグレードしてください
8.0.x	8.0.3
8.1.x	8.1.2

(2) 現在の Enterprise release バージョン (2017年 7月10日より前にリリースされたEnterprise release バージョン), 最新の Enterprise releaseバージョン (7.13.5)へアップグレードしてください。

Enterprize release バージョン7.6は、2019年11月にEOLを迎えることをご認識ください。もし最新のエンタープライズ版(7.13.5)へアップグレードできない場合は、7.6.14へアップグレードしてください。

以下のエンタープライズバージョンを利用している場合は...	以下のバージョンへアップグレードしてください
7.6.x	7.13.5 (推奨) 7.6.14
7.13.x	7.13.5

以下のエンタープライズバージョンを利用している場合は...

以下のバージョンへアップグレードしてください

7.6.x

7.13.5 (推奨)

7.6.14

7.13.x

7.13.5

(3) 古いバージョン（2018年12月10日より前のフィーチャーバージョン、2017年10月より前にリリースされたエンタープライズリリースバージョン）をご利用の場合は、最新バージョンか最新のエンタープライズリリースバージョン(7.13.5)へアップグレードをお願いします。,

以下のバージョンを利用している場合は...	以下のバージョンへアップグレードしてください
4.4.x 5.x.x 6.x.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x	現在のバージョン 8.0.3 8.1.2 8.2.3 Enterprise releaseバージョン 7.6.14 7.13.5 (推奨)

以下のバージョンを利用している場合は...

以下のバージョンへアップグレードしてください

4.4.x

5.x.x

6.x.x

7.0.x

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

現在のバージョン

8.0.3

8.1.2

8.2.3

Enterprise releaseバージョン

7.6.14

7.13.5 (推奨)

サポートされていないブラウザーです