ScriptRunner for Bitbucket Security Advisory 2020-09-21 日本語訳

以下、 ScriptRunner for Bitbucket Server/Data Center の最近発見したセキュリティ脆弱性をお知らせします。

ScriptRunner for Bitbucket のクリティカルな脆弱性について

悪意のある認証済みの Bitbucket ユーザーが、この脆弱性を悪用して、特権を昇格させることができます。

この脆弱性は、アトラシアンの Atlassian's Security Levels for Security Issues に従って Critical と評価され、ソースコードの内部セキュリティ監査の一部として特定されました。アプリ（アドオン）ベンダーの Adaptavist 社 は、この問題を認識した後、ただちに修正に向けた分析と作業に着手しました。

Adaptavist 社の調査によると、今回の脆弱性が悪用されたインスタンスはまだ発見されていません。

本脆弱性については、右記の課題で追跡できます。： https://productsupport.adaptavist.com/browse/SRBITB-854

セキュリティ脆弱性の対象製品バージョン

本脆弱性は、 2020 年9 月20 日より前にリリースされた ScriptRunner for Bitbucket の すべてのバージョンに影響します。 ver. 6.9.0 までのすべてのバージョンに影響します。

脆弱性を修正するには

この脆弱性を修正するために、以下のバージョンへ、ScriptRunner for Bitbucket をアップデートするようにお願いします。

• Bitbucket version 5.x.x の場合
  ScriptRunner for Bitbucket を 6.5.2 か、それ以上のバージョンへただちにアップデートしてください。
• Bitbucket version 6.x.x の場合
  ScriptRunner for Bitbucket を 6.9.2 か、それ以上のバージョンへただちにアップデートしてください。
• Bitbucket version 7.x.x の場合
   ScriptRunner for Bitbucket を 6.9.2 か、それ以上のバージョンへただちにアップデートしてください。

回避策はありません。

今回の脆弱性の回避策はありません。 Adaptavist 社 はただちにアップデートすることを推奨します。

すぐにアップデートできない場合は、ScriptRunner for Bitbucket version 6.6.0 以上については、「Enable System Admin Only Script Edit Permissions」をオフにします。( turn off repo admin access )　アップデートが可能になるまで脆弱性を緩和するために使用します。