Jira Server and Jira Data Center Security Advisory 2019-09-18 日本語訳

Owned by Hanayo Minamisawa [Ricksoft]
Last updated: 2022/01/29
1 min read

Atlassian 社のセキュリティアドバイザリ

https://confluence.atlassian.com/jira/jira-security-advisory-2019-09-18-976766250.html

詳細情報

Jira Server / Jira Data Center  Jira Importers Pluginにおけるテンプレートインジェクション  - CVE-2019-15001

要約

CVE-2019-15001 - Template injection in Jira Importers Plugin 

アドバイザリのリリース日

2019/9/18 10:00 AM PDT (Pacific Time, -7 hours)

対象製品

Jira Server と Jira Data Center

注意:  Jira Software, Jira Core Server, Jira Service Desk を含みます

Jira Cloud のお客様は影響を受けません。

ここでは、Jira Core と Jira Software のバージョンを掲載しています。
Jira Service Desk の場合は、compatibility matrix で互換性のあるバージョンをご確認ください。

影響する Jira Server / Jira Data Center バージョン

  • 7.0.10 -
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.0 - 7.6.15
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.0 - 7.13.7
  • 8.0.x 
  • 8.1.0 - 8.1.2
  • 8.2.0 - 8.2.4
  • 8.3.0 - 8.3.3 
  • 8.4.0

修正済の Jira Server / Jira Data Center バージョン

  • 7.6.16
  • 7.13.8
  • 8.1.3
  • 8.2.5
  • 8.3.4
  • 8.4.1
CVE ID(s)CVE-2019-15001

脆弱性の概要

以下のJira Server と Jira Data Center のバージョンはこの脆弱性の影響を受けます。

  • 7.0.10 - 7.6.15 (7.6.16で修正)
  • 7.7.0  - 7.13.7 (7.13.8で修正)
  • 8.0.0 - 8.1.2 (8.1.3で修正)
  • 8.2.0 - 8.2.4 (8.2.5で修正)
  • 8.3.0 - 8.3.3 (8.3.4で修正) 
  • 8.4.0  (8.4.1で修正)

Atlassian Cloud インスタンスは、このページに記載の脆弱性がないJiraのバージョンへ既にアップグレードしています。


以下の Jira Server / Jira Data Center のバージョンをダウンロード・インストールしているお客様については、

  • 7.0.10 - 7.6.15 (7.6.16で修正)
  • 7.7.0  - 7.13.7 (7.13.8で修正)
  • 8.0.0 - 8.1.2 (8.1.3で修正)
  • 8.2.0 - 8.2.4 (8.2.5で修正)
  • 8.3.0 - 8.3.3 (8.3.4で修正) 
  • 8.4.0  (8.4.1で修正)

脆弱性の対策のために Jira Server / Jira Data Centerただちにアップグレードしてください。

Jira Importers Pluginにおけるテンプレートインジェクション - CVE-2019-15001 について

説明

 Jira Server /Data Centerの Jira Importers Plugin (JIM)にサーバーサイド・テンプレートインジェクションの脆弱性があります。"Jira管理者権限" を持つ攻撃者は、この脆弱性を悪用できます。脆弱性の悪用に成功すると、脆弱性のあるバージョンのJira Server / Data Centerを実行するシステムに対して、攻撃者は外部からコードを実行できます。 

Jira Server / Jira Data Centerの 7.0.10 - 7.6.15、7.7.0  - 7.13.7 、8.0.0 - 8.1.2 、8.2.0 - 8.2.4 、8.3.0 - 8.3.3  、8.4.0 のバージョンはこの脆弱性の影響を受けます。

本件の対応状況はこちらの課題で追跡できます。:  https://jira.atlassian.com/browse/JRASERVER-69933

あなたにしてほしいこと

修正

Atlassianは以下のJira Core Server バージョンのリリースでこの問題を対処しています。

  1. 8.4.1  https://www.atlassian.com/software/jira/core/download からダウンロードできます。
  2. 8.3.4  https://www.atlassian.com/software/jira/core/update からダウンロードできます。
  3. 8.2.5  https://www.atlassian.com/software/jira/core/update からダウンロードできます。
  4. 8.1.3  https://www.atlassian.com/software/jira/core/update からダウンロードできます。
  5. 7.13.8  https://www.atlassian.com/software/jira/core/update からダウンロードできます。
  6. 7.6.16  https://www.atlassian.com/software/jira/core/update からダウンロードできます。

Atlassianは以下のJira Software Server & Jira Software Data Centerバージョンのリリースでこの問題を対処しています。

  1. 8.4.1  https://www.atlassian.com/software/jira/download からダウンロードできます。
  2. 8.3.4  https://www.atlassian.com/software/jira/update  からダウンロードできます。
  3. 8.2.5  https://www.atlassian.com/software/jira/update からダウンロードできます。
  4. 8.1.3  https://www.atlassian.com/software/jira/update からダウンロードできます。
  5. 7.13.8  https://www.atlassian.com/software/jira/update からダウンロードできます。
  6. 7.6.16  https://www.atlassian.com/software/jira/update からダウンロードできます。

Jiraのアップグレード

Atlassian は最新バージョンへのアップグレードを推奨します。Jira Server /Jira Data Centerの最新バージョンの詳細については、release notes をご確認ください。Jira Server /Jira Data Centerの最新バージョンは、download centerからダウンロードできます。


 Jira Server / Jira Data Center を ver.8.4.1以上へアップグレードしてください


(1) 現在のフィーチャーバージョン(2018年12月10日以降にリリースされたフィーチャーバージョン)の場合、現在ご利用のフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。

最新バージョン(8.4.1)へアップグレードできない場合:


以下のフィーチャーバージョンの場合...

以下のバグフィックスバージョンへアップグレードする

8.0.x8.1.3
8.1.x8.1.3
8.2.x8.2.5
8.3.x8.3.4


(2) 現在の Enterprise release バージョン (2017年7月10日以降にリリースされたエンタープライズリリースバージョン) をご利用の場合は、最新のエンタープライズリリースバージョン (7.13.8) へアップグレードしてください。

エンタープライズリリースバージョンの場合は…

…以下のバージョンへアップグレードする

7.6.x

7.6.16, 7.13.8 (推奨)

7.13.x

7.13.8

(3)  古いバージョン(2018年12月10日以前にリリースされたフィーチャーバージョン、もしくは 2017年7月10日以前にリリースされたEnterprise release バージョン)をご利用の場合は、最新バージョン(8.4.1) へアップグレードするか、最新のエンタープライズリリースバージョン (7.13.8)へアップグレードしてください。

古いバージョンをご利用の場合は...

…以下のいずれかのバージョンへアップグレードする:

7.0.x

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

現在のバージョン

8.1.3

8.2.5

8.3.4

8.4.1

エンタープライズリリースバージョン

7.6.16

7.13.8


緩和策

Jiraをただちにアップグレードできない場合、もしくは Jira Cloudへ移行処理を実施する場合は、一時的な対応策として、以下のエンドポイントへのPUTリクエストをブロックします。

/rest/jira-importers-plugin/1.0/demo/create

Jiraをアップグレードした後に、上記のリクエストのブロックを解除してください。

Jira Importer Pluginを無効化しないでください。



リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ