この記事は、2021年12月2日に Adaptavist 社から配信された 件名「Security advisory: update required for ScriptRunner for Jira」のメールを日本語翻訳し、構成しています。
ScriptRunner for Jira Server/Data Center のクリティカルな脆弱性と修正について
以下、ScriptRunner for Jira Server/Data Center で確認しましたセキュリティ脆弱性をお知らせします。本脆弱性は、 ScriptRunner for Jira のすべてのバージョン(6.39.0以前)に影響しますので、できるだけ早く最新バージョン(6.40.0 以降)の ScriptRunner for Jira に更新することをお勧めします。
セキュリティ脆弱性の対象製品バージョン
- ScriptRunner for Jira Server/Data Center ~ ver. 6.39.0
本脆弱性について
この脆弱性は、アトラシアンの Atlassian's Security Levels for Security Issues に従って Critical と評価しています。
最近 Adaptavist 社内の侵入テストの過程でこの脆弱性は発見され、ただちに修正プログラムを開発し、デプロイ・リリースしました。
この脆弱性が悪用された場合、Jira のサービス停止や、ファイルシステム上のファイルの内容を不正に読み取ることが可能になります。これらの脆弱性は、JQL クエリを実行できるすべてのユーザーによって悪用される可能性があります。
Jira インスタンスで課題への匿名アクセスを許可している場合は、ユーザーがログインしていなくても悪用される可能性があります。
Adaptavist 社の調査によると、この脆弱性が悪用された事例はありません。
脆弱性を修正するには
ScriptRunner for Jira Server/Data Center をできるだけ早く ver 6.40.0 以上へアップグレードしてください。
緩和策
ScriptRunner for Jira をすぐに ver 6.40.0 以上へアップグレードできない場合は、 `expression` および `aggregateExpressions` JQL 関数モジュール を Manage Apps (アプリを管理) メニューで無効にすることで緩和策の対応ができます。
Jira管理画面 > アプリを管理 より、「Adaptavist ScriptRunner for JIRA」をクリックし、「XXX モジュールのうち YYY モジュール が有効になっています」を続けてクリックします。
「Scripted JQL Function - expression (scripted-jql-function-expression)」と「Scripted JQL Function - aggregateExpression (scripted-jql-function-aggregateExpression)」モジュールを無効化します。
詳細は、Adaptavist 社の documentation を参照してください。なお、緩和策を実施した後は、できるだけ早くアップグレードすることをお勧めします。
本脆弱性については、右記の課題で追跡できます。:https://productsupport.adaptavist.com/browse/SRJIRA-5647