Jira Server and Jira Data Center Security Advisory 2019-09-18 日本語訳
Atlassian 社のセキュリティアドバイザリ
詳細情報
Jira Server / Jira Data Center Jira Importers Pluginにおけるテンプレートインジェクション - CVE-2019-15001
要約 | CVE-2019-15001 - Template injection in Jira Importers Plugin |
---|---|
アドバイザリのリリース日 | 2019/9/18 10:00 AM PDT (Pacific Time, -7 hours) |
対象製品 | Jira Server と Jira Data Center 注意: Jira Software, Jira Core Server, Jira Service Desk を含みます Jira Cloud のお客様は影響を受けません。 ここでは、Jira Core と Jira Software のバージョンを掲載しています。 |
影響する Jira Server / Jira Data Center バージョン |
|
修正済の Jira Server / Jira Data Center バージョン |
|
CVE ID(s) | CVE-2019-15001 |
脆弱性の概要
以下のJira Server と Jira Data Center のバージョンはこの脆弱性の影響を受けます。
- 7.0.10 - 7.6.15 (7.6.16で修正)
- 7.7.0 - 7.13.7 (7.13.8で修正)
- 8.0.0 - 8.1.2 (8.1.3で修正)
- 8.2.0 - 8.2.4 (8.2.5で修正)
- 8.3.0 - 8.3.3 (8.3.4で修正)
- 8.4.0 (8.4.1で修正)
Atlassian Cloud インスタンスは、このページに記載の脆弱性がないJiraのバージョンへ既にアップグレードしています。
以下の Jira Server / Jira Data Center のバージョンをダウンロード・インストールしているお客様については、
- 7.0.10 - 7.6.15 (7.6.16で修正)
- 7.7.0 - 7.13.7 (7.13.8で修正)
- 8.0.0 - 8.1.2 (8.1.3で修正)
- 8.2.0 - 8.2.4 (8.2.5で修正)
- 8.3.0 - 8.3.3 (8.3.4で修正)
- 8.4.0 (8.4.1で修正)
脆弱性の対策のために Jira Server / Jira Data Centerをただちにアップグレードしてください。
Jira Importers Pluginにおけるテンプレートインジェクション - CVE-2019-15001 について
説明
Jira Server /Data Centerの Jira Importers Plugin (JIM)にサーバーサイド・テンプレートインジェクションの脆弱性があります。"Jira管理者権限" を持つ攻撃者は、この脆弱性を悪用できます。脆弱性の悪用に成功すると、脆弱性のあるバージョンのJira Server / Data Centerを実行するシステムに対して、攻撃者は外部からコードを実行できます。
Jira Server / Jira Data Centerの 7.0.10 - 7.6.15、7.7.0 - 7.13.7 、8.0.0 - 8.1.2 、8.2.0 - 8.2.4 、8.3.0 - 8.3.3 、8.4.0 のバージョンはこの脆弱性の影響を受けます。
本件の対応状況はこちらの課題で追跡できます。: https://jira.atlassian.com/browse/JRASERVER-69933
あなたにしてほしいこと
修正
Atlassianは以下のJira Core Server バージョンのリリースでこの問題を対処しています。
- 8.4.1 https://www.atlassian.com/software/jira/core/download からダウンロードできます。
- 8.3.4 https://www.atlassian.com/software/jira/core/update からダウンロードできます。
- 8.2.5 https://www.atlassian.com/software/jira/core/update からダウンロードできます。
- 8.1.3 https://www.atlassian.com/software/jira/core/update からダウンロードできます。
- 7.13.8 https://www.atlassian.com/software/jira/core/update からダウンロードできます。
- 7.6.16 https://www.atlassian.com/software/jira/core/update からダウンロードできます。
Atlassianは以下のJira Software Server & Jira Software Data Centerバージョンのリリースでこの問題を対処しています。
- 8.4.1 https://www.atlassian.com/software/jira/download からダウンロードできます。
- 8.3.4 https://www.atlassian.com/software/jira/update からダウンロードできます。
- 8.2.5 https://www.atlassian.com/software/jira/update からダウンロードできます。
- 8.1.3 https://www.atlassian.com/software/jira/update からダウンロードできます。
- 7.13.8 https://www.atlassian.com/software/jira/update からダウンロードできます。
- 7.6.16 https://www.atlassian.com/software/jira/update からダウンロードできます。
Jiraのアップグレード
Atlassian は最新バージョンへのアップグレードを推奨します。Jira Server /Jira Data Centerの最新バージョンの詳細については、release notes をご確認ください。Jira Server /Jira Data Centerの最新バージョンは、download centerからダウンロードできます。
Jira Server / Jira Data Center を ver.8.4.1以上へアップグレードしてください
(1) 現在のフィーチャーバージョン(2018年12月10日以降にリリースされたフィーチャーバージョン)の場合、現在ご利用のフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。
最新バージョン(8.4.1)へアップグレードできない場合:
以下のフィーチャーバージョンの場合... | 以下のバグフィックスバージョンへアップグレードする |
---|---|
8.0.x | 8.1.3 |
8.1.x | 8.1.3 |
8.2.x | 8.2.5 |
8.3.x | 8.3.4 |
(2) 現在の Enterprise release バージョン (2017年7月10日以降にリリースされたエンタープライズリリースバージョン) をご利用の場合は、最新のエンタープライズリリースバージョン (7.13.8) へアップグレードしてください。
エンタープライズリリースバージョンの場合は… | …以下のバージョンへアップグレードする |
---|---|
7.6.x | 7.6.16, 7.13.8 (推奨) |
7.13.x | 7.13.8 |
(3) 古いバージョン(2018年12月10日以前にリリースされたフィーチャーバージョン、もしくは 2017年7月10日以前にリリースされたEnterprise release バージョン)をご利用の場合は、最新バージョン(8.4.1) へアップグレードするか、最新のエンタープライズリリースバージョン (7.13.8)へアップグレードしてください。
古いバージョンをご利用の場合は... | …以下のいずれかのバージョンへアップグレードする: |
---|---|
7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x | 現在のバージョン 8.1.3 8.2.5 8.3.4 8.4.1 エンタープライズリリースバージョン 7.6.16 7.13.8 |
緩和策
Jiraをただちにアップグレードできない場合、もしくは Jira Cloudへ移行処理を実施する場合は、一時的な対応策として、以下のエンドポイントへのPUTリクエストをブロックします。
/rest/jira-importers-plugin/1.0/demo/create
Jiraをアップグレードした後に、上記のリクエストのブロックを解除してください。
Jira Importer Pluginを無効化しないでください。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ