Page tree

Contents

詳細情報

Jira Server -   リソース内のテンプレートインジェクション  - CVE-2019-11581

Summary

CVE-2019-11581 - Template injection in various resources

Advisory Release Date

10 July 2019, 10 AM PDT (Pacific Time, -7 hours)

Product

Jira Server and Jira Data Center

注意: Jira Software Server, Jira Core Server, Jira Service Desk Serverも影響を受けます。
ここでは、Jira Core と Jira Software のバージョンを掲載しています。
Jira Service Desk の場合は、compatibility matrix で互換性のあるバージョンをご確認ください。

Affected Jira Versions

Jira Core, Jira Software

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.x <= version < 7.6.14
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.x <= version < 7.13.5 
  • 8.0.x <= version < 8.0.3 
  • 8.1.x <= version < 8.1.2
  • 8.2.x <= version < 8.2.3

Jira ServiceDesk

  • 3.0.x
  • 3.1.x
  • 3.2.x
  • 3.3.x
  • 3.4.x
  • 3.5.x
  • 3.6.x
  • 3.7.x
  • 3.8.x
  • 3.9.0 <= version < 3.9.14
  • 3.10.x
  • 3.11.x
  • 3.12.x
  • 3.13.x
  • 3.14.x
  • 3.15.x
  • 3.16.0 <= version < 3.16.5
  • 4.0.0 <= version < 4.0.3
  • 4.1.0 <= version < 4.1.2
  • 4.2.0 <= version < 4.2.3

Fixed Jira Versions

  • 7.6.14
  • 7.13.5
  • 8.0.3
  • 8.1.2
  • 8.2.3
  • 3.9.14
  • 3.16.5
  • 4.0.3
  • 4.1.2
  • 4.2.3
CVE ID(s)CVE-2019-11581


脆弱性の概要

このアドバイザリは、Jira Server/ Jira Data Center Data Centerのバージョン4.4.0で導入された重大なセキュリティの脆弱性を発表しています。

Jira Cloud は本脆弱性の影響を受けません。


Jira Server/ Jira Data Center Data Centerを バージョン 7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3 にアップグレードしたお客様は本脆弱性の影響を受けません。



以下の Jira Server / Data Centerバージョンをインストールしているお客様は影響を受けます:

  • 4.4.x
  • 5.x.x
  • 6.x.x
  • 7.0.x
  • 7.1.x
  • 7.2.x
  • 7.3.x
  • 7.4.x
  • 7.5.x
  • 7.6.x <= version < 7.6.14
  • 7.7.x
  • 7.8.x
  • 7.9.x
  • 7.10.x
  • 7.11.x
  • 7.12.x
  • 7.13.x <= version < 7.13.5 
  • 8.0.x <= version < 8.0.3 
  • 8.1.x <= version < 8.1.2
  • 8.2.x <= version < 8.2.3

この脆弱性を解決するために、Jira Server/ Jira Data Center Data Centerをただちにアップグレードしてください


Jira Service Desk ver.3.0 - ver.4.2.2 をダウンロードしてインストールしているお客様は影響を受けます:

上記は、Jira Software とJira Core のバージョンを載せています。ご利用の Jira Service Desk と互換性のあるバージョンを確認するために compatibility matrixをご参照ください。

Template injection in various resources (CVE-2019-11581) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Jira Server /Data CenterのContactAdministrators (管理者への問い合わせフォーム)とSendBulkMail (管理画面の「メールを送信」)の操作について、サーバーサイド・テンプレート・インジェクションが可能な脆弱性が発見されました。

この脆弱性を悪用するためには、少なくとも以下の何れかの条件を満たす必要があります。

 1.送信メールサーバー(SMTPサーバー)がJiraで設定されていて、「管理者への問合せフォーム」が有効になっている
 2.送信メールサーバー(SMTPサーバー)がJiraで設定されていて、攻撃者が「Jira管理者」権限を持ち、管理画面の「メールを送信」メニューへアクセスできる

一つ目の「管理者への問合せフォーム」が有効になっているケースでは、攻撃者が認証せずに脆弱性を悪用できます。
二つ目の脆弱性については、Jira管理者権限を持っている場合に脆弱性を悪用できます。

いずれのケースも本脆弱性の悪用に成功すると、脆弱性のあるJira Server / Data Center のバージョンで、攻撃者がリモートでコードを実行できます。

Jira Server / Data Center ver.4.4.0から 7.6.14(7.6.xの修正バージョン)より前、ver.7.7.0からver.7.13.5(ver.7.13.xの修正バージョン)より前、ver.8.0.0から8.0.3(ver.8.0.xの修正バージョン)より前、ver.8.1.0から8.1.2(ver.8.1.xの修正ーバージョン)より前、ver.8.2.0からver.8.2.3より前のすべてのバージョンが本脆弱性の影響を受けます。

あなたにしてほしいこと

緩和策

すぐにJiraをアップグレードできない場合は、一時的な対応策として以下のご対応をお願いします。

  1. 「管理者への問い合わせフォーム」を無効化 します
  2.  以下のエンドポイントを リバースプロキシ、ロードバランサ、またはTomcatで直接(設定手順)ブロックします。
    ・/secure/admin/SendBulkMail!default.jspa 
    ・/admin/SendBulkMail!default.jspa 
    ・/SendBulkMail!default.jspa 

SendBulkMail エンドポイントをブロックすることで、Jira管理者がユーザーへメールを一括送信することを抑止します。

Jiraをアップグレード後は、「管理者への問合せフォーム」を再有効化し、SendBulkMailのエンドポイントのブロックを解除できます。

Jiraのアップグレード

Atlassian は最新のバージョンにアップグレードすることをお勧めします。Jira Server /Data Centerの最新バージョンの詳細については、リリースノートをご確認ください。
ダウンロードセンター からJira Server /Data Centerの最新バージョンをダウンロードできます。

Jira Server /Data Centerを ver.8.2.3 以上にアップグレードしてください。


最新バージョン 8.2.3 へアップグレードできない場合は:

(1) 現在のフィーチャーバージョン(2018年12月10日以降にリリースされたフィーチャーバージョン)をご利用の場合は、ご利用のフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。

以下のバージョンを利用している場合は...以下のバージョンへアップグレードしてください
8.0.x8.0.3
8.1.x8.1.2


(2) 現在の Enterprise release バージョン (2017年 7月10日より前にリリースされたEnterprise release バージョン), 最新の Enterprise releaseバージョン (7.13.5)へアップグレードしてください。

Enterprize release バージョン7.6は、2019年11月にEOLを迎えることをご認識ください。もし最新のエンタープライズ版(7.13.5)へアップグレードできない場合は、7.6.14へアップグレードしてください。

以下のエンタープライズバージョンを利用している場合は...

以下のバージョンへアップグレードしてください

7.6.x

7.13.5 (推奨)

7.6.14

7.13.x

7.13.5


(3) 古いバージョン(2018年12月10日より前のフィーチャーバージョン、2017年10月より前にリリースされたエンタープライズリリースバージョン)をご利用の場合は、最新バージョンか最新のエンタープライズリリースバージョン(7.13.5)へアップグレードをお願いします。,

以下のバージョンを利用している場合は...

以下のバージョンへアップグレードしてください

4.4.x

5.x.x

6.x.x

7.0.x

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

現在のバージョン

8.0.3

8.1.2

8.2.3

Enterprise releaseバージョン

7.6.14

7.13.5 (推奨)



  • No labels

This page has no comments.