ScriptRunner for BitBucket Security Advisory 2020-08-05 日本語訳
- Hanayo Minamisawa [Ricksoft]
この記事は、2020年8月5日に Adaptavist 社から配信された 件名「 ScriptRunner for BitBucket Vulnerability Identified - Update to Fix」のメールを日本語翻訳しています。
ScriptRunner for Bitbucket のクリティカルな脆弱性について
以下、 ScriptRunner for Bitbucket Server/Data Center の最近発見したセキュリティ脆弱性をお知らせします。
セキュリティ脆弱性の対象製品バージョン
本脆弱性は、 ScriptRunner for Bitbucket の ver.5.4.29 から 6.5.1 と 6.5.1-p5 より前のすべてのバージョンに影響します。
この脆弱性は、アトラシアンの Atlassian's Security Levels for Security Issues に従って High と評価されました。
本脆弱性について
悪意のある認証済みの Bitbucket ユーザーは、管理者権限を持たない場合でも、Bitbucket インスタンス内で任意のコードを実行できます。
現時点では、この脆弱性が悪用された事例はまだございませんが、すべてのお客様に、スクリプトと構成をチェックし期待通りの設定か確認することをお勧めします。
ソースコードの内部セキュリティ監査の一部として特定され、アプリ(アドオン)ベンダーの Adaptavist 社 は、この問題を認識した後、ただちにこの欠陥を修正しました。
本脆弱性については、右記の課題で追跡できます。:https://productsupport.adaptavist.com/browse/SRBITB-816
脆弱性を修正するには
ScriptRunner for Bitbucket を修正済みバージョンへアップデートしてください。
あなたの環境のこの脆弱性を修正するために、以下のバージョンへ、ScriptRunner for Bitbucket をアップデートするようにお願いします。
- Bitbucket version 6.0.0、もしくはそれより上のバージョンの場合
ScriptRunner for Bitbucket version 6.5.1-p5 へアップデートしてください。 - Bitbucket versions 5.6.1- 5.16.11 の場合
ScriptRunner for Bitbucket version 6.5.1 へアップデートしてください。 - Bitbucket version 5.6.0 もしくはそれより下のバージョンの場合
ScriptRunner をアップデートする前に、Bitbucket をサポートされているバージョンまでアップデートしてください。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ