Jira Service Management & Insight Asset Management Center Security Advisory 2021-10-20 日本語訳

Owned by Hanayo Minamisawa [Ricksoft]
Last updated: 2022/01/29

Atlassian 社のセキュリティアドバイザリ

本脆弱性の対応策(修正バージョンへのアップグレードもしくは緩和策の実行)の実施を推奨します。


Jira Service Management および Insight Asset Management - リモートコード実行 (CVE-2018-10054)

要約

CVE-2018-10054 - Remote Code Execution through Insight - Asset Management

アドバイザリのリリース日

 午前10時 (PDT) / 午前2時 (JST)

対象製品

  • Jira Service Management Data Center および Server
  • Insight - Asset Management アプリ

Jira Service Management Cloud のお客様は影響を受けません。

影響を受けるバージョン

Jira Service Management Data Center および Server の次のバージョン

  • すべての 4.15.x バージョン (Insight v9.0.xをバンドル)

  • すべての 4.16.x バージョン (Insight v9.0.xをバンドル)

  • すべての 4.17.x バージョン (Insight v9.0.xをバンドル)

  • すべての 4.18.x バージョン (Insight v9.0.xをバンドル)

  • すべての 4.19.x バージョン (Insight v9.1.0をバンドル)

Insight - Asset Management の次のバージョン

  • すべての 5.x バージョン

  • すべての 6.x バージョン

  • すべての 7.x バージョン

  • 8.0.x - 8.9.2 バージョン(8.9.3 よりも前の 8.x バージョン)

修正済みのバージョン

Jira Service Management Data Center

  • 4.20.0 (Insight v9.1.2をバンドル)

修正済みのバージョン

Insight - Asset Management Marketplaceアプリ

  • 8.9.3

CVE ID


脆弱性の概要

このアドバイザリでは、Insight - Asset Management アプリの 8.9.3 までのバージョンにおける、重大なセキュリティ脆弱性について発表します。このアプリは Jira Service Management Data Center および Server (バージョン 4.14 までは Jira Service Desk) のバージョン 4.15.0 以降にバンドルされています。

Jira Service Management Data Center および Server の 4.15.0 ~ 4.19.x のすべてのバージョンが影響を受けます

Insight - Asset Management アプリと Jira Service Management Data Center および Server の、影響を受けるバージョンの一覧は、上記の表に記載されています (影響を受けるバージョンを参照)。

Jira Service Management Cloud のお客様はこの脆弱性の影響を受けません。

Jira Service Management 4.20.0 および Insight - Asset Management アプリのバージョン 8.9.3 以降にアップグレードしたお客様はこの脆弱性の影響を受けません。

上記の「影響を受けるバージョン」をダウンロード・インストールしているお客様については、この脆弱性を修正するために、Jira Service Management および Insight - Asset Management アプリ をただちにアップグレードしてください。
即座に行うことが難しい場合や、アップグレード計画中の場合は、以降に記載している緩和策を適用してください。

重大度

アトラシアンでは、セキュリティ問題の深刻度 に公開されている基準に従い、この脆弱性の重大度レベルを クリティカル (重大) と評価しています。この評価は、重大、高、中、低 の段階でランク付けします。

これはアトラシアン社の評価であり、実際の影響はお客さまの環境において調査していただく必要があります。

脆弱性の説明

Insight - Asset Managementには、複数のデータベースからデータをインポートする機能があります。これらの DB の1つである H2 DB では、攻撃者がサーバー上でコードを実行 (リモートコード実行、RCE) するために使えるネイティブ機能がライブラリに備わっています。H2 DB は Jira のテスト環境のセットアップを素早く行えるよう、Jiraにバンドルされています。

Insight - Asset Management で導入された DB のインポート機能と既存の Jira H2 DB のライブラリとの組み合わせにより、この脆弱性が生まれました。この脆弱性は、インポート構成が保存されたかどうかや、H2 DB を使用したことがあるかどうかにかかわらず存在します。この脆弱性にアクセスするには次の要件を満たす必要があります。

  • ユーザーが認証済みのJiraユーザーであり、かつ

Insight - Asset Management内で次のいずれかの権限を持つ

  • “Insight administrator”のユーザーまたはグループ権限

  • “Object Schema Manager”のユーザーまたはグループ権限



Jira Service Management Data Center および Server バージョン 4.15.0 以降には Insight - Asset Management がバンドルされています。

Jira Core (Server/DC)、Jira Software (Server/DC)、および Jira Service Management (Server/DC) インスタンスのバージョン <=4.15 で、Marketplace から Insight - Asset Management をインストールすることなく H2 DB を使っている場合は、この脆弱性の影響を受けません。

この脆弱性は右記の課題で追跡できます。JSDSERVER-8716 - Jira Service Management / Insight Asset Management vulnerable to RCE Security


修正

この問題を受けて次の対応を行っています。

  • インポート機能による H2 DB へのコネクションの確立を無効化した、Jira Service Management Data Center および Server 4.20.0 と Insight - Asset Management アプリ 8.9.3 をリリース


これらのバージョンは以下のサイトでダウンロードできます。

Jira Service Management Data Center および Server 
Insight - Asset Management アプリ


あなたがすべきこと

アトラシアンでは、最新の修正済みバージョンにアップグレードすることを推奨します。最新バージョンの詳細については Jira Service Management リリース ノート および Insight - Asset Management - Version history をご確認ください。

アップグレード

Jira Service Management Data Center および Server 

Jira Service Management Data Center および Server バージョン 4.15.0 ~ 4.19.x をご利用の場合、ソフトウェアダウンロードページ から 4.20.0 をダウンロードしてそれにアップグレードします。

Insight - Asset Management アプリ

以下のバージョンに Insight - Asset Management アプリをインストールして利用している場合、

  • Jira Service Management (Jira Service Desk) (Server/Data Center) バージョン 4.15.0 よりも前

  • Jira Core (Server/Data Center)

  • Jira Software (Server/Data Center)

Insight - Asset Management アプリのバージョン 8.9.3 (H2 DB へのコネクションが無効化されたバージョン) を Atlassian Marketplace からダウンロードしてそれにアップグレードします。

Jira との互換性を考慮してください。アプリの修正済みバージョン (8.9.3) は次の互換性を持ちます。

Insight - Asset Management アプリバージョン

アプリケーションの互換性
8.9.3

Server

  • Jira Core Server 8.12.0 - 8.20

  • Jira Software Server 8.12.0 - 8.20

  • Jira Service Management Server 4.12 - 4.20

Data Center

  • Jira Core Data Center 8.12.0 - 8.20

  • Jira Software Data Center 8.12.0 - 8.20

  • Jira Service Desk Data Center 4.12 - 4.14

「アプリケーションの互換性」に記載のバージョン以外を実行している場合、最初に 8.9.3 のアプリとの互換性を持つバージョンにアップグレードする必要があります(詳細については セキュリティバグの修正ポリシー をご確認ください)。

例:Jira バージョン 8.7.2 と Insight - Asset Management アプリバージョン 8.4.1 を使用している場合、Insight - Asset Management アプリのバージョン 8.9.3 をインストールできるようにするには、まず Jira バージョン 8.12.0 以降にアップグレードする必要があります。即座にアップグレードすることができない場合は以降の緩和策に従います。


緩和策

Jira Service Management Data Center および Server 4.20.0 と Insight - Asset Management アプリ を即座にアップグレードすることができない場合、一時的な緩和策 として、Jira インストールに付属する H2 の JAR ファイルを削除することで問題を軽減させることができます。

以降の緩和策の手順を行うと、現在 H2 を使用しているインスタンスが開始できなくなります。インスタンスを引き続き利用するには、緩和策の手順を適用する前に、H2 データベースから他の任意のサポート対象データベースへの移行を行う必要があります。

H2 データベースは本番環境での使用はサポートされていません。

データベースの移行手順については データベースの切り替え | Jira アプリケーション Data Center および Server 8.19 の管理 | アトラシアン製品ドキュメント をご確認ください。

H2 の JAR ファイルの削除方法

  1. Jira を停止します

  2. <Jira-Installation-Directory>/atlassian-jira/WEB-INF/lib/ に移動します

  3. h2-1.4.XYZ.jar ファイルを見つけて削除します (XYZ には H2 データベースファイルバージョンのプレースホルダーが入ります。例: h2-1.4.200.jar)

  4. Jira を起動します

Data Center 環境の場合、JAR ファイルの削除後にノードのローリングリスタートを行えます。



リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ