Jira Server and Data Center - Authentication Bypass in Seraph Security Advisory 2022-04-20 日本語訳

Jira Server and Data Center - Jira Seraphでの認証バイパス (CVE-2022-0540)

脆弱性の説明

Jira および Jira Service Management の Web 認証フレームワーク「Jira Seraph」における認証バイパスに関する セキュリティ脆弱性を発表します。

この脆弱性は Jira のコア部分に存在しますが、webwork1 レベル での roles-required の設定がされていて、かつ action レベルで roles-required の設定がされていない Atlassian 製アプリやサードパーティ製アプリが影響を受けます。

リモートの認証していない攻撃者は、影響を受ける構成を使用する Webwork アクションの認証および認可要件をバイパスする特別に細工された URL をリクエストすることで、この脆弱性を悪用できます。

以下の両方の条件を満たす場合、アプリは CVE-2022-0540 の影響を受けます。

• 影響を受ける Jira または Jira Service Management のバージョンのいずれかをインストールしている

• 本脆弱性に対して脆弱な構成を使用している

この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/JRASERVER-73650 https://jira.atlassian.com/browse/JSDSERVER-11224

Jira Cloud 製品は影響を受けません

脆弱性の影響範囲

影響を受ける構成を持つアプリをインストールして利用している環境について、Atlassian 社は セキュリティ問題の深刻度 を Critical レベルと評価しています。
ただし、この評価は影響を受けるアプリ側でチェック用の追加権限が利用されているかどうかに応じ変わる可能性があります。
以降の「影響を受けるアプリ」セクションに記載されているアプリへの影響の詳細については、アプリベンダーへご確認ください。

影響を受ける構成のアプリを利用していない環境の場合は、Atlassian 社は重大度を Medium と評価しています。

影響を受ける Jira バージョン

上記表の「影響を受けるバージョン」をご確認ください。

修正済みの Jira バージョン

上記表の「修正されたバージョン」をご確認ください。

最新バージョンは、Jira Core、 Jira Software、Jira Service Management のダウンロードページからダウンロードできます。

影響を受けるアプリ

アプリは、次の条件の両方を満たす場合にのみ本脆弱性の影響を受けます。

• Jira または Jira Service Management の影響を受けるバージョンに影響を受けるアプリがインストールされている

• アプリが CVE-2022-0540 の脆弱性の影響を受ける構成を使用している

アプリ構成は、脆弱性の影響を受けるかどうかの判断要素の1つではありますが、脆弱性の原因ではありません。
以下の二つのアプリは、過去に Jira および Jira Service Management に脆弱性を持つ方法で実装された機能を利用しています。
Jira または Jira Service Management の修正済みのバージョンをインストール済みの場合は、以下の影響があるアプリがインストールされていても、この脆弱性から守られます。

• Insight - Asset Management

  • Versions 8.x 以前のバージョン ( Atlassian Marketplace でダウンロードできるバージョン)

  • Versions 9.x (Jira Service Management Server/ Data Center 4.15.0 以降にバンドルされているバージョン）

• Mobile Plugin for Jira

  • Jira Server, Jira Software Server / Data Center 8.0.0 以降にバンドルされているバージョン

  • Jira Service Management Server / Data Center 4.0.0 以降にバンドルされているバージョン

• 一部の Atlassian Marketplace に掲載されているサードパーティ製アプリ
  対象のアプリが脆弱性を受けるか、修正バージョンがリリースされているかは、Atlassian 社の Jira Security Advisory 2022-04-20 の Determining which apps are affected 項にある 「Atlassian Marketplace apps with configurations affected by CVE-2022-0540」の > をクリックして表示される一覧表で確認できます。

対応策

Jira または Jira Service Management の修正済みバージョンをインストールすることが CVE-2022-0540 脆弱性の最も確実な対応策です。
修正済みバージョンをインストールすると、インスタンス内のすべてのアプリが CVE-2022-0540 脆弱性から保護され、以降のアクションは不要になります。

Jira または Jira Service Management の修正済みバージョンのインストールを行うことができない場合、前述の「影響を受けるアプリ」で、対象のアプリの影響を受けないバージョンが提供されているかどうかを確認します。提供されている場合は影響を受けないバージョンにバージョンアップします。

Jira または Jira Service Management の修正済みバージョンのインストールを行うことができず、また、対象のアプリの修正バージョンがリリースされていない場合は、Jira または Jira Service Management の修正済みバージョンをインストールできるようになるまでの間はアプリを無効化することでセキュリティリスクを軽減できます。

Insight - Asset Management について

Insight - Asset Management は、Jira Service Management 4.15以降にバンドルされています。
Jira Service Management 4.15.0 以降を利用しているお客様は UPM 経由で Insight 8.10.0 (修正バージョン)をインストールすることはできません。この記事に記載された Jira Service Management の修正済みバージョンのいずれかをインストールするか、アプリを無効化して脆弱性のリスクを軽減する対応をします。

Insight - Asset Management の場合は、オブジェクトスキーマ管理者権限を持つ認証済みの攻撃者がこの脆弱性を利用して任意のコードを実行できる可能性があります。

Insight - Asset Management アプリの無効化の手順については、Jira Service Management インスタンスのさまざまな種類やバージョンで Insight - Asset Management アプリをインストール、アンインストール、有効化、または無効化する方法 をご確認ください。

Mobile Plugin for Jira について

Mobile Plugin for Jira は、Atlassian Marketplace で最新バージョンを入手し、バージョンアップ します。