Page tree

Contents

詳細情報

Jira Service Desk Server/ Jira Service Desk Data Center  URLパストラバーサルによる情報開示  - CVE-2019-14994

要約

CVE-2019-14994 - URL path traversal allows information disclosure

アドバイザリのリリース日

2019/9/18 10:00 AM PDT (Pacific Time, -7 hours)

対象製品

Jira Service Desk Server と Jira Service Desk Data Center

Jira Service Desk Cloudは影響を受けません。

Jira Service Deskがインストールされていない Jira Core や Jira Software も影響を受けません。

影響する Jira Service Desk Server/
Jira Service Desk Data Center バージョン

  • - 3.9.15
  • 3.10.0 - 3.16.7
  • 4.0.0 - 4.1.2
  • 4.2.0 - 4.2.4
  • 4.3.0 - 4.3.3
  • 4.4.0

修正済の Jira Service Desk バージョン

  • 3.9.16

  • 3.16.8

  • 4.1.3

  • 4.2.5

  • 4.3.4

  • 4.4.1

CVE ID(s)CVE-2019-14994

脆弱性の概要

このアドバイザリは、Jira Service Desk Server /Jira Service Desk Data Center の重大なセキュリティの脆弱性を発表しています。3.9.15以前、3.10.0 - 3.16.7、4.0.0 - 4.1.2、4.2.0 - 4.2.4、4.3.0 - 4.3.3、4.4.0がこの脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、このページに記載されている脆弱性がない Jira Service Deskへ 既にアップグレードしています。


Jira Service Desk Server / Jira Service Desk Data Center ver. 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4, 4.4.1 へアップグレードしたお客様は影響を受けません。


以下のJira Service Desk Server / Jira Service Desk Data Center のバージョンをダウンロード・インストールしているお客様については、

  • - 3.9.15
  • 3.10.0 - 3.16.7 (3.16.8で修正)
  • 4.0.0 - 4.1.2 (4.1.3で修正)
  • 4.2.0 - 4.2.4 (4.2.5で修正)
  • 4.3.0 - 4.3.3 (4.3.4で修正)
  • 4.4.0 (4.4.1で修正)

脆弱性の対策のために Jira Service Desk Server / Jira Service Desk Data Centerただちにアップグレードしてください。

URLパストラバーサルによる情報開示  - CVE-2019-14994 について

説明

Jira Service Deskは、設計上、カスタマーポータルユーザーへはリクエスト作成と課題閲覧権限のみ付与しています。これにより、Jiraへ直接アクセスすることなくカスタマーポータルでやりとりできます。ポータルへアクセスできるリモートの攻撃者が、パストラバーサル脆弱性を悪用して、これらの制限を無視できる可能性があります。Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この悪用により、攻撃者が脆弱性のあるインスタンスのすべてのJiraプロジェクト内の全課題を見ることができます。これはJira Service Desk プロジェクトだけでなく、JiraCoreプロジェクト、JiraSoftwareプロジェクトも含みます。

3.9.15までのすべてのバージョン、3.10.0 - 3.16.7、4.0.0 - 4.1.2、4.2.0 - 4.2.4、4.3.0 - 4.3.3、4.4.0が、この脆弱性の影響を受けます。

本件の対応状況はこちらの課題で追跡できます。: https://jira.atlassian.com/browse/JSDSERVER-6517

あなたにしてほしいこと

緩和策

 Jira Service Deskをただちにアップグレードできない場合は、一時的な対応策として、以下が可能です。

  • リバースプロキシやロードバランサで  ".."を含む Jiraへのリクエストをブロックする
  • あるいは、 ".."を含むリダイレクトリクエストを安全なURLにするようにJiraに設定する 

    • [jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xmlの <urlrewrite> セクションに 以下を追加する

      <rule>
          <from>^/[^?]*\.\..*$</from>
          <to type="temporary-redirect">/</to>
      </rule>

    • Jira再起動

 Jira Service Desk をアップグレード後、緩和策を削除します。

修正

Jira Service Desk のアップグレード

Atlassian は最新バージョンへのアップグレードを推奨します。 Jira Service Desk Server / Jira Service Desk Data Centerの最新バージョンの詳細については、 Release Notesをご確認ください。Jira Service Desk Server / Jira Service Desk Data Center の最新バージョンは、 Download Center からダウンロードできます。

Jira Service Deskを以下に指定されているバージョンにアップグレードします。


以下のバージョンの場合...

...以下のバグフィックスバージョンへアップグレードする:

4.4.04.4.1

4.3.x

4.3.4

4.2.x

4.2.5

4.1.x

4.1.3

3.16.x

3.16.8

3.9.x

3.16.8 (推奨)

3.9.16

古いバージョン

現在のバージョン

4.4.1

4.3.4
エンタープライズリリースバージョン:

3.16.8 (推奨)

3.9.16

Jira Service Desk をアップグレードするには、Jira Coreのアップグレードも必要です。compatibility matrix でご利用のJira Service Desk バージョンと互換性のあるバージョンをご確認ください。



脆弱性を悪用されたか調査するには

 Jira KB に あなたのJira Service Deskインスタンスを悪用されたか判断する方法の手順が記載されています。
注意:アトラシアンには、この脆弱性が悪用されたという証拠はありません。

Jira KB のコピーを日本語訳したものは以下になります。

CVE-2019-14994 の詳細や 影響を受けるJira のバージョンについては、Atlassianのセキュリティアドバイザリをご確認ください。


  • このドキュメントはセキュリティ評価で使用できるガイドを提供しますが、あなたのシステムが侵害されてないことを保証できません。私たちは、詳細なガイダンスについては、ITセキュリティチームに相談することを強くお勧めします。

  • アクセスログが、改ざん、ローテーション、または削除されている可能性もあります。 該当する場合は、リバースプロキシやロードバランサや他のソースのログとJiraのログを比較してください。


悪用された場合、脆弱性により、攻撃者がJira Service Deskインスタンスの保護した情報(課題詳細、コメント、プロジェクトや課題のリストなど)を見ることができます。あなたのインスタンスが悪用されていないかチェックするために、/servicedesk/customer/../../ や /servicedesk/customer/..;/..;/ といったURLパターンが使われているかどうか、アクセスログを確認してください。

アクセスログは、Jiraインストールディレクトリのサブディレクトリ「logs」内で確認できます。

  1. <Jira-installation-directory>/logs へアクセスします。
  2. 以下のコマンドを実行してください。結果として0が返却された場合は、影響はありません。

    grep -c -e "/servicedesk/customer/../../" -e "/servicedesk/customer/..;/..;/" access*

  3. 以下のコマンドを実行して、アクセスログから悪用可能なリクエストのコンテキストに関する情報を含む行を抽出してください。

    grep -e "/servicedesk/customer/../../" -e "/servicedesk/customer/..;/..;/" access*

Windowsインスタンスで grepコマンドが利用できない場合は、以下のコマンドを実行してください。

find /C "/servicedesk/customer/../../" access* & find /C "/servicedesk/customer/..;/..;/" access*




  • No labels

This page has no comments.