Jira ServiceDesk Server and Jira ServiceDesk Data Center Security Advisory 2019-11-06 日本語訳

Jira Service Desk Server and Data Center -  権限のバイパスによる情報開示 (CVE-2019-15003) / URL パストラバーサルによる情報開示 (CVE-2019-15004)

脆弱性の概要

このアドバイザリは、二つのクリティカルな深刻度のセキュリティアドバイザリ( CVE-2019-15003 と CVE-2019-15004) を含みます。3.9.16以前、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0 がこの脆弱性の影響を受けます。

権限のバイパスによる情報開示 - CVE-2019-15003

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Jira Service Deskは、設計上、カスタマーポータル ユーザーへは リクエストの作成権限と課題の閲覧権限のみ付与しています。これにより、Jiraへ直接アクセスすることなくカスタマーポータルでやりとりできます。ポータルへアクセスできる攻撃者*が、権限のバイパスを悪用して、これらの制限を無視できる可能性があります。 この悪用により、攻撃者は脆弱性のあるインスタンスのJiraプロジェクト内のすべての課題を閲覧できます。これはJira Service Desk プロジェクトだけでなく、JiraCoreプロジェクト、JiraSoftwareプロジェクトも含みます。

3.9.16までのすべてのバージョン、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0が、この脆弱性の影響を受けます。

本件の対応状況はこちらの課題で追跡できます。https://jira.atlassian.com/browse/JSDSERVER-6590

*　Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この権限を変更してもポータルアクセス権限を持つ攻撃者によって悪用される脆弱性は解除されません。Atlassianは権限を変更することを推奨していません。代わりに次のセクションで説明する指示を読み、それに従ってください。

謝辞

私たちは、この脆弱性を発見した Raphaël Arrouas に感謝します。

緩和策

 Jira Service Deskをただちにアップグレードできない、Jira Cloud への移行 の処理ができない場合は、一時的な対応策として、以下のいずれかが可能です。

• リバースプロキシやロードバランサのレベルで、 jspa, jspx, jspを含むJiraへのリクエストをブロックする
• あるいは、 " jspa, jspx, jsp"を含むリダイレクトリクエストを安全なURLにするようにJiraに設定する

  • Add the following to the  section of [jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml の <urlrewrite> セクションに以下を追加する

    <rule>
        <from>/servicedesk/.*\.jsp.*</from>
        <to type="temporary-redirect">/</to>
    </rule>

  • 上記を保存後に、Jiraを再起動する

Jira Service Desk をアップグレードした後は、この緩和策を削除できます。

URL パストラバーサルによる情報開示 - CVE-2019-15004

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Jira Service Deskは、設計上、カスタマーポータル ユーザーへは リクエストの作成権限と課題の閲覧権限のみ付与しています。これにより、Jiraへ直接アクセスすることなくカスタマーポータルでやりとりできます。ポータルへアクセスできる攻撃者*が、パストラバーサルの脆弱性を悪用して、これらの制限を無視できる可能性があります。 この悪用により、攻撃者は脆弱性のあるインスタンスのJiraプロジェクト内のすべての課題を閲覧できます。これはJira Service Desk プロジェクトだけでなく、JiraCoreプロジェクト、JiraSoftwareプロジェクトも含みます。

3.9.16までのすべてのバージョン、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0が、この脆弱性の影響を受けます。

 https://jira.atlassian.com/browse/JSDSERVER-6589

*　Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この権限を変更してもポータルアクセス権限を持つ攻撃者によって悪用される脆弱性は解除されません。Atlassianは権限を変更することを推奨していません。代わりに次のセクションで説明する指示を読み、それに従ってください。

謝辞

私たちは、この脆弱性を発見した Raphaël Arrouas に感謝します

緩和策

 Jira Service Deskをただちにアップグレードできない、Jira Cloud への移行 の処理ができない場合は、一時的な対応策として、以下のいずれかが可能です。

• リバースプロキシやロードバランサのレベルで、 jspa, jspx, jspを含むJiraへのリクエストをブロックする
• あるいは、 " .."を含むリダイレクトリクエストを安全なURLにするようにJiraに設定する
  

  • Add the following to the <urlrewrite> section of [jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml:

        <rule>
            <from>^/.*\.\..*$</from>
            <to type="temporary-redirect">/</to>
        </rule>

  • 上記を保存後に、Jiraを再起動する

Jira Service Desk をアップグレードした後は、この緩和策を削除できます。

修正

Atlassianは、この問題に対処するために Jira Service Desk Server と Jira Service Desk Data Center  Jira Service Desk Data Center の次のバージョンをリリースしました。

Jira Service Desk

• 3.9.17
  • Linux 32 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17-x32.bin
  • Linux 64 Bit Installer) http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17-x64.bin
  • TAR.GZ Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17.tar.gz
  • Windows 32 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17-x32.exe
  • Windows 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17-x64.exe
  • ZIP Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.9.17.zip
• 3.16.10
  • Linux 32 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10-x32.bin
  • Linux 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10-x64.bin
  • TAR.GZ Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10.tar.gz
  • Windows 32 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10-x32.exe
  • Windows 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10-x64.exe
  • ZIP Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-3.16.10.zip
• 4.5.1
  • Linux 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-4.5.1-x64.bin
  • TAR.GZ Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-4.5.1.tar.gz
  • Windows 64 Bit Installer http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-4.5.1-x64.exe
  • ZIP Archive http://www.atlassian.com/software/jira/downloads/binary/atlassian-servicedesk-4.5.1.zip
    
    

あなたにしてほしいこと

Jira Service Desk の最新バージョンへのアップグレード

Atlassian は、最新バージョンへアップグレードすることを推奨しています。 Jira Service Desk Server /Jira Service Desk Data Center の最新バージョンの詳細説明は、リリースノートをご確認ください。

以下のバージョンへのJira Service Desk のアップグレード 

Jira Service Desk をアップグレードするには、Jira Coreのアップグレードも必要です。compatibility matrix でご利用のJira Service Desk バージョンと互換性のあるバージョンをご確認ください。