Jira ServiceDesk Server and Jira ServiceDesk Data Center Security Advisory 2019-11-06 日本語訳
Atlassian 社のセキュリティアドバイザリ
Jira Service Desk Server and Data Center - 権限のバイパスによる情報開示 (CVE-2019-15003) / URL パストラバーサルによる情報開示 (CVE-2019-15004)
要約 | CVE-2019-15003 - Authorization bypass allows information disclosure / CVE-2019-15004 - URL path traversal allows information disclosure |
---|---|
アドバイザリのリリース日 | 10:00 AM PDT (Pacific Time, -7 hours) |
対象製品 | Jira Service Desk Server と Jira Service Desk Data Center Jira Service Desk Cloudは影響を受けません。 Jira Service Deskがインストールされていない Jira Core か Jira Softwareは影響を受けません。 |
影響する Jira Service Desk Server/ |
|
修正済の Jira Service Desk バージョン |
|
CVE ID(s) | CVE-2019-15003, CVE-2019-15004 |
脆弱性の概要
このアドバイザリは、二つのクリティカルな深刻度のセキュリティアドバイザリ( CVE-2019-15003 と CVE-2019-15004) を含みます。3.9.16以前、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0 がこの脆弱性の影響を受けます。
Atlassian Cloud インスタンスは、このページに記載されている脆弱性がない Jira Service Deskへ 既にアップグレードしています。
Jira Service Desk Server / Jira Service Desk Data Center ver. 3.9.17, 3.16.10, 4.2.6, 4.3.5, 4.4.3, 4.5.1 へアップグレードしたお客様は影響を受けません。
以下のJira Service Desk Server / Jira Service Desk Data Center のバージョンをダウンロード・インストールしているお客様については、
- - 3.9.16
- 3.10.0 - 3.16.9 (3.16.10で修正)
- 4.0.0 - 4.2.5 (4.2.6で修正)
- 4.3.0 - 4.3.4 (4.3.5で修正)
- 4.4.0 - 4.4.2 (4.4.3で修正)
- 4.5.0 (4.5.1で修正)
Jira Service Desk Server / Jira Service Desk Data Centerをただちにアップグレードしてください。
権限のバイパスによる情報開示 - CVE-2019-15003
深刻度
Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
説明
Jira Service Deskは、設計上、カスタマーポータル ユーザーへは リクエストの作成権限と課題の閲覧権限のみ付与しています。これにより、Jiraへ直接アクセスすることなくカスタマーポータルでやりとりできます。ポータルへアクセスできる攻撃者*が、権限のバイパスを悪用して、これらの制限を無視できる可能性があります。 この悪用により、攻撃者は脆弱性のあるインスタンスのJiraプロジェクト内のすべての課題を閲覧できます。これはJira Service Desk プロジェクトだけでなく、JiraCoreプロジェクト、JiraSoftwareプロジェクトも含みます。
3.9.16までのすべてのバージョン、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0が、この脆弱性の影響を受けます。
本件の対応状況はこちらの課題で追跡できます。https://jira.atlassian.com/browse/JSDSERVER-6590
* Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この権限を変更してもポータルアクセス権限を持つ攻撃者によって悪用される脆弱性は解除されません。Atlassianは権限を変更することを推奨していません。代わりに次のセクションで説明する指示を読み、それに従ってください。
謝辞
私たちは、この脆弱性を発見した Raphaël Arrouas に感謝します。
緩和策
Jira Service Deskをただちにアップグレードできない、Jira Cloud への移行 の処理ができない場合は、一時的な対応策として、以下のいずれかが可能です。
- リバースプロキシやロードバランサのレベルで、 jspa, jspx, jspを含むJiraへのリクエストをブロックする
- あるいは、 " jspa, jspx, jsp
"を含む
リダイレクトリクエストを安全なURLにするようにJiraに設定するAdd the following to the section of
[jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml の <urlrewrite>
セクションに以下を追加する<rule> <from>/servicedesk/.*\.jsp.*</from> <to type="temporary-redirect">/</to> </rule>
- 上記を保存後に、Jiraを再起動する
Jira Service Desk をアップグレードした後は、この緩和策を削除できます。
URL パストラバーサルによる情報開示 - CVE-2019-15004
深刻度
Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
説明
Jira Service Deskは、設計上、カスタマーポータル ユーザーへは リクエストの作成権限と課題の閲覧権限のみ付与しています。これにより、Jiraへ直接アクセスすることなくカスタマーポータルでやりとりできます。ポータルへアクセスできる攻撃者*が、パストラバーサルの脆弱性を悪用して、これらの制限を無視できる可能性があります。 この悪用により、攻撃者は脆弱性のあるインスタンスのJiraプロジェクト内のすべての課題を閲覧できます。これはJira Service Desk プロジェクトだけでなく、JiraCoreプロジェクト、JiraSoftwareプロジェクトも含みます。
3.9.16までのすべてのバージョン、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0が、この脆弱性の影響を受けます。
https://jira.atlassian.com/browse/JSDSERVER-6589
* Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この権限を変更してもポータルアクセス権限を持つ攻撃者によって悪用される脆弱性は解除されません。Atlassianは権限を変更することを推奨していません。代わりに次のセクションで説明する指示を読み、それに従ってください。
謝辞
私たちは、この脆弱性を発見した Raphaël Arrouas に感謝します
緩和策
Jira Service Deskをただちにアップグレードできない、Jira Cloud への移行 の処理ができない場合は、一時的な対応策として、以下のいずれかが可能です。
- リバースプロキシやロードバランサのレベルで、 jspa, jspx, jspを含むJiraへのリクエストをブロックする
- あるいは、 " ..
"を含む
リダイレクトリクエストを安全なURLにするようにJiraに設定するAdd the following to the
<urlrewrite>
section of[jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml
:<rule> <from>^/.*\.\..*$</from> <to type="temporary-redirect">/</to> </rule>
- 上記を保存後に、Jiraを再起動する
Jira Service Desk をアップグレードした後は、この緩和策を削除できます。
修正
Atlassianは、この問題に対処するために Jira Service Desk Server と Jira Service Desk Data Center Jira Service Desk Data Center の次のバージョンをリリースしました。
Jira Service Desk
- 3.9.17
- Linux 32 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17-x32.bin
- Linux 64 Bit Installer) http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17-x64.bin
- TAR.GZ Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17.tar.gz
- Windows 32 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17-x32.exe
- Windows 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17-x64.exe
- ZIP Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17.zip
- 3.16.10
- Linux 32 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10-x32.bin
- Linux 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10-x64.bin
- TAR.GZ Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10.tar.gz
- Windows 32 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10-x32.exe
- Windows 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10-x64.exe
- ZIP Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10.zip
- 4.5.1
- Linux 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-4.5.1-x64.bin
- TAR.GZ Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-4.5.1.tar.gz
- Windows 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-4.5.1-x64.exe
- ZIP Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-4.5.1.zip
あなたにしてほしいこと
Jira Service Desk の最新バージョンへのアップグレード
Atlassian は、最新バージョンへアップグレードすることを推奨しています。 Jira Service Desk Server /Jira Service Desk Data Center の最新バージョンの詳細説明は、リリースノートをご確認ください。
以下のバージョンへのJira Service Desk のアップグレード
Jira Service Deskを以下に指定されているバージョンにアップグレードします。
Jira Service Desk をアップグレードするには、Jira Coreのアップグレードも必要です。compatibility matrix でご利用のJira Service Desk バージョンと互換性のあるバージョンをご確認ください。
以下のバージョンの場合... | ...以下のバグフィックスバージョンへアップグレードする: |
---|---|
4.5.x | 4.5.1 |
4.4.x | 4.4.3 |
4.3.x | 4.3.5 |
4.2.x | 4.2.6 |
4.1.x | 4.5.1 (推奨) |
4.0.x | 4.5.1 (推奨) |
3.16.x | 3.16.10 |
3.9.x | 3.16.10 3.9.17 |
古いバージョン (3.9.xより前) | 現在のバージョン: 4.4.1 4.3.4 エンタープライズリリースバージョン: 4.5.1 (推奨) 3.16.10 3.9.17 |
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ