Atlassian Multiple Products Security Advisory 2021-11-01 日本語訳

Owned by Hanayo Minamisawa [Ricksoft]
Last updated: 2022/01/29

Atlassian 社のセキュリティアドバイザリ

以下のドキュメントでは、本脆弱性について影響範囲や気を付けていただきたい点を中心に記載しております。
記載内容を確認し、軽減策もしくは Atlassian 製品バージョンアップを実施するかは各自でご判断いただくようにお願いします。


Atlassian 複数製品向けのセキュリティ勧告 -  Unicode の双方向オーバーライド文字がレンダリングされない (CVE-2021-42574)

要約

CVE-2021-42574 - Unrendered unicode bidirectional override characters in multiple products

アドバイザリのリリース日

 午前12時 (UTC) 

対象製品

  • Bamboo Server および Data Center

  • Bitbucket Server および Data Center

  • Confluence Server および Data Center

  • Crucible

  • Fisheye

  • Jira Service Management Server および Data Center (および Insight Asset Management アプリ)

  • Jira Software Server および Data Center (Jira Core を含む)

  • Jira および Confluence Server のモバイル アプリ

影響を受けるバージョン

Bamboo Server および Data Center

  • 8.0.4 よりも前のすべてのバージョン

Bitbucket Server および Data Center

  • 6.10.14 よりも前のすべてのバージョン

  • 7.0.0 と 7.5.2 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.6.10 よりも前のすべての 7.6.x LTS バージョン

  • 7.7.0 と 7.16.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.17.1 よりも前のすべての 7.17.x LTS バージョン

Confluence Server および Data Center

  • 7.4.13 よりも前のすべてのバージョン

  • 7.5.0 と 7.12.5 の間のすべてのバージョン (これらのバージョンを含む)

  • 7.13.2 よりも前のすべての 7.13.x LTS バージョン

  • バージョン 7.14.0

Crucible

  • 4.8.8 よりも前のすべてのバージョン

Fisheye

  • 4.8.8 よりも前のすべてのバージョン

Jira Service Management Server および Data Center

  • 4.13.13 よりも前のすべてのバージョン

  • 4.14.0 と 4.19.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 4.20.1 よりも前のすべての 4.20.x LTS バージョン

Insight Asset Management (Jira Service Management の Marketplace アプリ)

  • 8.9.4 よりも前のすべてのバージョン

Jira Software Server and Data Center (Jira Core を含む)

  • 8.13.13 よりも前のすべてのバージョン

  • 8.14.0 と 8.19.1 の間のすべてのバージョン (これらのバージョンを含む)

  • 8.20.1 よりも前のすべての 8.20.x LTS バージョン

修正済みのバージョン


Bamboo Server および Data Center

  • 8.0.4

Bitbucket Server および Data Center

  • 6.10.14

  • 7.6.10

  • 7.17.1

Confluence Server および Data Center

  • 7.4.13

  • 7.13.2

  • 7.14.1

Crucible

  • 4.8.8

Fisheye

  • 4.8.8

Jira Service Management Server および Data Center

  • 4.13.13

  • 4.20.1

Insight Asset Management (Jira Service Management の Marketplace アプリ)

  • 8.9.4

Jira Software Server and Data Center (Jira Core を含む)

  • 8.13.13

  • 8.20.1

CVE ID


脆弱性の概要

このアドバイザリでは、次の Atlassian の複数の製品バージョンで確認された、高い重要度のセキュリティ脆弱性について発表します。
影響を受ける製品やバージョンは、上の表の「影響を受けるバージョン」をご確認ください。


この脆弱性による Atlassian Cloud サイトへの影響については、次のページをご確認ください。CVE-2021-42574 - Unrendered unicode bidirectional override characters in Cloud sites

ご利用のアトラシアン サイトが  atlassian.net ドメイン経由でアクセスされている場合、それは Atlassian Cloud サイトです。

上記の表の "修正済みバージョン" に記載されたバージョンにアップグレード済みのお客様は、この脆弱性の影響を受けません。

上記の表の "影響を受けるバージョン" に記載されたバージョンをダウンロードおよびインストールしているお客様は、この脆弱性を修正するためにインストールを即座にアップグレードする必要があります。

重大度

アトラシアンでは、セキュリティ問題の深刻度 に公開されている基準に従い、この脆弱性の重大度レベルを High  (高) と評価しています。この評価は、重大、高、中、低 の段階でランク付けします。

これはアトラシアン社の評価であり、実際の影響はお客さまの環境において調査していただく必要があります。

脆弱性の説明

Unicode 双方向オーバーライド文字として知られる特殊文字がレンダリングまたは表示されないという、複数のアトラシアン製品に影響を及ぼす脆弱性が確認されました。
これらの特殊文字は、通常はブラウザやコードエディタでは表示されませんが、ソースコードがコンパイラやインタプリタで処理される際に、ソースコードの意味に影響を与える可能性があります。

謝辞

この問題は、University of Cambridge の Nicholas Boucher および Ross Anderson によって発見および報告されました。詳細は CVE-2021-42574 で開示されています。

修正

Atlassian 社ではこの問題に対応するために次の対応を行いました。

  1. この問題の修正を含む、Bamboo Server および Data Center バージョン 8.0.4 のリリース。

  2. この問題の修正を含む、Bitbucket Server および Data Center バージョン 6.10.14、7.6.10、7.17.1 のリリース。

  3. この問題の修正を含む、Confluence Server および Data Center バージョン 7.4.13、7.13.2、7.14.1 のリリース。

  4. この問題の修正を含む、Crucible バージョン 4.8.8 のリリース。

  5. この問題の修正を含む、Fisheye バージョン 4.8.8 のリリース。

  6. この問題の修正を含む、Insight Asset Management Marketplace アプリ バージョン 8.9.4 のリリース。

  7. この問題の修正を含む、Jira Service Management Server および Data Center バージョン 4.13.13、4.20.1 のリリース。

  8. この問題の修正を含む、Jira Software Server および Data Center バージョン 8.13.13、8.20.1 のリリース。


あなたがすべきこと

アトラシアンでは、最新の修正済みバージョンにアップグレードすることを推奨します。最新バージョンの詳細については、対象の製品のリリース ノートをご確認ください。

ご利用の製品の最新バージョンはダウンロード センターからダウンロードできます。

下記で推奨されるバージョン以降にアップグレードしてください。

製品

操作

Bamboo Server および Data Center

8.0.4 以降にアップグレード

Bitbucket Server および Data Center

7.17.1 LTS 以降にアップグレード

最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。

Confluence Server および Data Center

7.13.2 LTS 以降の 7.13.x バージョンにアップグレード

最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。

7.14.0 を実行している場合は 7.14.1 以降にアップグレード

Crucible

4.8.8 以降にアップグレード

Fisheye

4.8.8 以降にアップグレード

Insight Asset Management アプリ

アプリを 8.9.4 以降にアップグレード

これは、Insight Asset Management を Marketplace からインストールしている場合にのみ必要です。

Jira Software Server および Data Center (Jira Core を含む)

8.20.1 LTS 以降にアップグレード

最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。

Jira Service Management Server および Data Center

4.20.1 LTS 以降にアップグレード

最新の LTS バージョンにアップグレードすることができない場合、上記の表の "修正済みバージョン" に記載されているバージョンの中でもっとも適切なものにアップグレードしてください。

修正内容

修正済みバージョンでは、プル リクエスト、コード スニペット、コード ブロックなどの、コードが表示される多数の画面が、Unicode の双方向文字がハイライトされるように更新しています。
ユーザーはツールチップを使用して、文字の役割や、実行時のコードの解釈方法を確認できます。

以下は、Confluence Data Center のコード ブロックを含むページを表示しているときの、メッセージの例です。

緩和策

緩和策は、以下の Atlassian ドキュメントリンクをご参照ください。

Jira Core/Jira Software 

※  ver.8.20 のみ適用可能 

CVE-2021-42574 の FAQ - Jira Core/Jira Software

Jira Service Management

※  ver.4.20 のみ適用可能 

CVE-2021-42574 の FAQ - Jira Service Management

Confluence

※  ver.7.4.9 以降 のみ適用可能 

CVE-2021-42574 の FAQ - Confluence





リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ