CVE-2021-42574 の Atlassian 製品への影響範囲

「Atlassian 製品セキュリティ勧告 - Unicode の双方向オーバーライド文字がレンダリングされない (CVE-2021-42574)」脆弱性は 現時点では Atlassian 製品自体が被害を受けた報告はなく、Atlassian 製品自体に直接被害が及ぶ種類の脆弱性ではございません。

Atlassian 製品が本脆弱性の影響を受ける場合のシナリオ例

Atlassian 製品が CVE-2021-42574 の脆弱性の影響を受けた場合の例を記載します。（現時点では、実際に被害を受けた報告はありません）

① Jira の コメント欄にコマンドやコードをコピー＆ペーストして運用している場合

1. 悪意のある双方向オーバーライド文字を含むコマンドやコードをコピーし、Jira の課題のコメント欄に貼り付ける。　
2. 1 のコマンドやコードをコピーし、実行環境等でコンパイラやインタプリタで処理されたときにソースコードの意味合いが変わっているため、正常に処理ができなくなる。

② Confluence でコードプロック等にコマンドやコードをコピー＆ペーストして運用している場合

1. 悪意のある双方向オーバーライド文字を含むコマンドやコードをコピーし、Confluence のページのコードブロックに貼り付ける。
2. 1のコマンドやコードをコピーし、実行環境等でコンパイラやインタプリタで処理されたときにソースコードの意味合いが変わっているため、正常に処理ができなくなる。

③ Bitbucket でコード変更の承認をしている場合

1. 悪意のある双方向オーバーライド文字を含むコマンドやコードをコピーし、Bitbucket のソースファイルへ貼り付ける。
2. 置き換わった内容を Bitbucket 上で目視できないため、置き換わったことに気が付かず、プルリクエストを承認し、マージする。
3. ２のソースコードを実行環境等でコンパイラやインタプリタで処理されたときにソースコードの意味合いが変わっているため、正常に処理ができなくなる。

Atlassian 製品バージョンアップ（軽減策実施）での効果

修正バージョンへバージョンアップすることにより、もともと目視できなかった 双方向オーバーライド文字をハイライトで表示できるようになります。
これは脆弱性により不正にコードが置き換わっているかを確認するものであり、脆弱性を根本的に解決するものではありません。

Atlassian Cloud では、上記の軽減策が実装されています。

• CVE-2021-42574 - クラウド サイトにおける、レンダリングされない Unicode の双方向オーバーライド文字

Atlassian 製品バージョンアップ（軽減策実施）できない場合

すぐに軽減策実施や製品バージョンアップが実施できない場合は、以下に注意して Atlassian 製品の運用をお願いします。

1. ソースコードを導入する外部ソースからコードスニペットをコピーして Atlassian 製品に貼り付けないでください。

2. コマンドシェルへのコピー/貼り付けを使用する場合は、さらに注意してください。

双方向文字が存在するか調査する方法

Atlassian 製品でクエリ等を実施し、双方向文字が含まれているか確認することができます。
Atlassian ドキュメント CVE-2021-42574 の FAQ によりますと、 クエリについては Atlassian 社により準備中です。
※  上記は現時点(2021/11/4)での情報となり、今後変更される可能性があります。

We’re working with development to create queries you or your database team can use to identify these characters where possible in our products.
（アトラシアンでは、開発チームと協力して、データベースでこれらの文字を識別するために使用できるクエリを作成しています。）

ただし、確認できますのは、双方向文字が含まれているかどうかで、意図しない操作を実行するために置き換えられたものか否かは、コードやロジックの内容を理解している状態で各自で判断する必要があります。