Jira ServiceDesk Server and Jira ServiceDesk Data Center Security Advisory 2019-09-18 日本語訳

詳細情報

Jira Service Desk Server/ Jira Service Desk Data Center  URLパストラバーサルによる情報開示  - CVE-2019-14994

脆弱性の概要

このアドバイザリは、Jira Service Desk Server /Jira Service Desk Data Center の重大なセキュリティの脆弱性を発表しています。3.9.15以前、3.10.0 - 3.16.7、4.0.0 - 4.1.2、4.2.0 - 4.2.4、4.3.0 - 4.3.3、4.4.0がこの脆弱性の影響を受けます。

URLパストラバーサルによる情報開示  - CVE-2019-14994 について

説明

Jira Service Deskは、設計上、カスタマーポータルユーザーへはリクエスト作成と課題閲覧権限のみ付与しています。これにより、Jiraへ直接アクセスすることなくカスタマーポータルでやりとりできます。ポータルへアクセスできるリモートの攻撃者が、パストラバーサル脆弱性を悪用して、これらの制限を無視できる可能性があります。Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この悪用により、攻撃者が脆弱性のあるインスタンスのすべてのJiraプロジェクト内の全課題を見ることができます。これはJira Service Desk プロジェクトだけでなく、JiraCoreプロジェクト、JiraSoftwareプロジェクトも含みます。

3.9.15までのすべてのバージョン、3.10.0 - 3.16.7、4.0.0 - 4.1.2、4.2.0 - 4.2.4、4.3.0 - 4.3.3、4.4.0が、この脆弱性の影響を受けます。

本件の対応状況はこちらの課題で追跡できます。: https://jira.atlassian.com/browse/JSDSERVER-6517

あなたにしてほしいこと

緩和策

 Jira Service Deskをただちにアップグレードできない場合は、一時的な対応策として、以下が可能です。

• リバースプロキシやロードバランサで  ".."を含む Jiraへのリクエストをブロックする

• あるいは、 ".."を含むリダイレクトリクエストを安全なURLにするようにJiraに設定する　

  • [jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xmlの <urlrewrite> セクションに　以下を追加する

    <rule>     <from>^/[^?]*\.\..*$</from>     <to type="temporary-redirect">/</to> </rule>

  • Jira再起動

 Jira Service Desk をアップグレード後、緩和策を削除します。

修正

Jira Service Desk のアップグレード

Atlassian は最新バージョンへのアップグレードを推奨します。 Jira Service Desk Server / Jira Service Desk Data Centerの最新バージョンの詳細については、 Release Notesをご確認ください。Jira Service Desk Server / Jira Service Desk Data Center の最新バージョンは、 Download Center　からダウンロードできます。

Jira Service Desk をアップグレードするには、Jira Coreのアップグレードも必要です。compatibility matrix でご利用のJira Service Desk バージョンと互換性のあるバージョンをご確認ください。

脆弱性を悪用されたか調査するには

 Jira KB に あなたのJira Service Deskインスタンスを悪用されたか判断する方法の手順が記載されています。
注意：アトラシアンには、この脆弱性が悪用されたという証拠はありません。

Jira KB のコピーを日本語訳したものは以下になります。

悪用された場合、脆弱性により、攻撃者がJira Service Deskインスタンスの保護した情報（課題詳細、コメント、プロジェクトや課題のリストなど）を見ることができます。あなたのインスタンスが悪用されていないかチェックするために、/servicedesk/customer/../../ や /servicedesk/customer/..;/..;/ といったURLパターンが使われているかどうか、アクセスログを確認してください。

アクセスログは、Jiraインストールディレクトリのサブディレクトリ「logs」内で確認できます。

1. <Jira-installation-directory>/logs へアクセスします。

2. 以下のコマンドを実行してください。結果として０が返却された場合は、影響はありません。

   grep -c -e "/servicedesk/customer/../../" -e "/servicedesk/customer/..;/..;/" access*

3. 以下のコマンドを実行して、アクセスログから悪用可能なリクエストのコンテキストに関する情報を含む行を抽出してください。

   grep -e "/servicedesk/customer/../../" -e "/servicedesk/customer/..;/..;/" access*

Windowsインスタンスで grepコマンドが利用できない場合は、以下のコマンドを実行してください。