Jira Server Security Advisory 2019-07-10 (日本語訳)

Owned by Hanayo Minamisawa [Ricksoft]
Last updated: 2022/01/29
1 min read

Atlassian 社のセキュリティアドバイザリ

JIRA Security Advisory 2019-07-10: Jira Server - Template injection in various resources - CVE-2019-11581

詳細情報

Jira Server -   リソース内のテンプレートインジェクション  - CVE-2019-11581

Summary

CVE-2019-11581 - Template injection in various resources

Advisory Release Date

10 July 2019, 10 AM PDT (Pacific Time, -7 hours)

Product

Jira Server and Jira Data Center

注意: Jira Software Server, Jira Core Server, Jira Service Desk Serverも影響を受けます。
ここでは、Jira Core と Jira Software のバージョンを掲載しています。
Jira Service Desk の場合は、compatibility matrix で互換性のあるバージョンをご確認ください。

Affected Jira Versions

Jira Core, Jira Software

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.x <= version < 7.6.14
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.x <= version < 7.13.5 
  • 8.0.x <= version < 8.0.3 
  • 8.1.x <= version < 8.1.2
  • 8.2.x <= version < 8.2.3

Jira ServiceDesk

  • 3.0.x
  • 3.1.x
  • 3.2.x
  • 3.3.x
  • 3.4.x
  • 3.5.x
  • 3.6.x
  • 3.7.x
  • 3.8.x
  • 3.9.0 <= version < 3.9.14
  • 3.10.x
  • 3.11.x
  • 3.12.x
  • 3.13.x
  • 3.14.x
  • 3.15.x
  • 3.16.0 <= version < 3.16.5
  • 4.0.0 <= version < 4.0.3
  • 4.1.0 <= version < 4.1.2
  • 4.2.0 <= version < 4.2.3

Fixed Jira Versions

  • 7.6.14
  • 7.13.5
  • 8.0.3
  • 8.1.2
  • 8.2.3
  • 3.9.14
  • 3.16.5
  • 4.0.3
  • 4.1.2
  • 4.2.3
CVE ID(s)CVE-2019-11581


脆弱性の概要

このアドバイザリは、Jira Server/ Jira Data Center Data Centerのバージョン4.4.0で導入された重大なセキュリティの脆弱性を発表しています。

Jira Cloud は本脆弱性の影響を受けません。


Jira Server/ Jira Data Center Data Centerを バージョン 7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3 にアップグレードしたお客様は本脆弱性の影響を受けません。



以下の Jira Server / Data Centerバージョンをインストールしているお客様は影響を受けます:

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.x <= version < 7.6.14
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.x <= version < 7.13.5 
  • 8.0.x <= version < 8.0.3 
  • 8.1.x <= version < 8.1.2
  • 8.2.x <= version < 8.2.3

この脆弱性を解決するために、Jira Server/ Jira Data Center Data Centerをただちにアップグレードしてください


Jira Service Desk ver.3.0 - ver.4.2.2 をダウンロードしてインストールしているお客様は影響を受けます:

上記は、Jira Software とJira Core のバージョンを載せています。ご利用の Jira Service Desk と互換性のあるバージョンを確認するために compatibility matrixをご参照ください。

Template injection in various resources (CVE-2019-11581) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Jira Server /Data CenterのContactAdministrators (管理者への問い合わせフォーム)とSendBulkMail (管理画面の「メールを送信」)の操作について、サーバーサイド・テンプレート・インジェクションが可能な脆弱性が発見されました。

この脆弱性を悪用するためには、少なくとも以下の何れかの条件を満たす必要があります。

 1.送信メールサーバー(SMTPサーバー)がJiraで設定されていて、「管理者への問合せフォーム」が有効になっている
 2.送信メールサーバー(SMTPサーバー)がJiraで設定されていて、攻撃者が「Jira管理者」権限を持ち、管理画面の「メールを送信」メニューへアクセスできる

一つ目の「管理者への問合せフォーム」が有効になっているケースでは、攻撃者が認証せずに脆弱性を悪用できます。
二つ目の脆弱性については、Jira管理者権限を持っている場合に脆弱性を悪用できます。

いずれのケースも本脆弱性の悪用に成功すると、脆弱性のあるJira Server / Data Center のバージョンで、攻撃者がリモートでコードを実行できます。

Jira Server / Data Center ver.4.4.0から 7.6.14(7.6.xの修正バージョン)より前、ver.7.7.0からver.7.13.5(ver.7.13.xの修正バージョン)より前、ver.8.0.0から8.0.3(ver.8.0.xの修正バージョン)より前、ver.8.1.0から8.1.2(ver.8.1.xの修正ーバージョン)より前、ver.8.2.0からver.8.2.3より前のすべてのバージョンが本脆弱性の影響を受けます。

あなたにしてほしいこと

緩和策

すぐにJiraをアップグレードできない場合は、一時的な対応策として以下のご対応をお願いします。

  1. 「管理者への問い合わせフォーム」を無効化 します
  2.  以下のエンドポイントを リバースプロキシ、ロードバランサ、またはTomcatで直接(設定手順)ブロックします。
    ・/secure/admin/SendBulkMail!default.jspa 
    ・/admin/SendBulkMail!default.jspa 
    ・/SendBulkMail!default.jspa 

SendBulkMail エンドポイントをブロックすることで、Jira管理者がユーザーへメールを一括送信することを抑止します。

Jiraをアップグレード後は、「管理者への問合せフォーム」を再有効化し、SendBulkMailのエンドポイントのブロックを解除できます。

Jiraのアップグレード

Atlassian は最新のバージョンにアップグレードすることをお勧めします。Jira Server /Data Centerの最新バージョンの詳細については、リリースノートをご確認ください。
ダウンロードセンター からJira Server /Data Centerの最新バージョンをダウンロードできます。

Jira Server /Data Centerを ver.8.2.3 以上にアップグレードしてください。


最新バージョン 8.2.3 へアップグレードできない場合は:

(1) 現在のフィーチャーバージョン(2018年12月10日以降にリリースされたフィーチャーバージョン)をご利用の場合は、ご利用のフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。

以下のバージョンを利用している場合は...以下のバージョンへアップグレードしてください
8.0.x8.0.3
8.1.x8.1.2


(2) 現在の Enterprise release バージョン (2017年 7月10日より前にリリースされたEnterprise release バージョン), 最新の Enterprise releaseバージョン (7.13.5)へアップグレードしてください。

Enterprize release バージョン7.6は、2019年11月にEOLを迎えることをご認識ください。もし最新のエンタープライズ版(7.13.5)へアップグレードできない場合は、7.6.14へアップグレードしてください。

以下のエンタープライズバージョンを利用している場合は...

以下のバージョンへアップグレードしてください

7.6.x

7.13.5 (推奨)

7.6.14

7.13.x

7.13.5


(3) 古いバージョン(2018年12月10日より前のフィーチャーバージョン、2017年10月より前にリリースされたエンタープライズリリースバージョン)をご利用の場合は、最新バージョンか最新のエンタープライズリリースバージョン(7.13.5)へアップグレードをお願いします。,

以下のバージョンを利用している場合は...

以下のバージョンへアップグレードしてください

4.4.x

5.x.x

6.x.x

7.0.x

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

現在のバージョン

8.0.3

8.1.2

8.2.3

Enterprise releaseバージョン

7.6.14

7.13.5 (推奨)



リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ