Page tree

Contents

Jira Service Desk Server and Data Center -  権限のバイパスによる情報開示 (CVE-2019-15003) / URL パストラバーサルによる情報開示 (CVE-2019-15004)

要約

CVE-2019-15003 - Authorization bypass allows information disclosure / CVE-2019-15004 - URL path traversal allows information disclosure

アドバイザリのリリース日

  10:00 AM PDT (Pacific Time, -7 hours)

対象製品

Jira Service Desk Server と Jira Service Desk Data Center

Jira Service Desk Cloudは影響を受けません。

Jira Service Deskがインストールされていない Jira Core か Jira Softwareは影響を受けません。

影響する Jira Service Desk Server/
Jira Service Desk Data Center バージョン

  • - 3.9.16
  • 3.10.0 - 3.16.9
  • 4.0.0 - 4.2.5
  • 4.3.0 - 4.3.4
  • 4.4.0 - 4.4.2
  • 4.5.0

修正済の Jira Service Desk バージョン

CVE ID(s)CVE-2019-15003, CVE-2019-15004

脆弱性の概要

このアドバイザリは、二つのクリティカルな深刻度のセキュリティアドバイザリ( CVE-2019-15003 と CVE-2019-15004) を含みます。3.9.16以前、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0 がこの脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、このページに記載されている脆弱性がない Jira Service Deskへ 既にアップグレードしています。


Jira Service Desk Server / Jira Service Desk Data Center ver. 3.9.17, 3.16.10, 4.2.6, 4.3.5, 4.4.3, 4.5.1 へアップグレードしたお客様は影響を受けません。


以下のJira Service Desk Server / Jira Service Desk Data Center のバージョンをダウンロード・インストールしているお客様については、

  • - 3.9.16
  • 3.10.0 - 3.16.9 (3.16.10で修正)
  • 4.0.0 - 4.2.5 (4.2.6で修正)
  • 4.3.0 - 4.3.4 (4.3.5で修正)
  • 4.4.0 - 4.4.2 (4.4.3で修正)
  • 4.5.0 (4.5.1で修正)

Jira Service Desk Server / Jira Service Desk Data Centerただちにアップグレードしてください。

権限のバイパスによる情報開示 - CVE-2019-15003

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Jira Service Deskは、設計上、カスタマーポータル ユーザーへは リクエストの作成権限と課題の閲覧権限のみ付与しています。これにより、Jiraへ直接アクセスすることなくカスタマーポータルでやりとりできます。ポータルへアクセスできる攻撃者*が、権限のバイパスを悪用して、これらの制限を無視できる可能性があります。 この悪用により、攻撃者は脆弱性のあるインスタンスのJiraプロジェクト内のすべての課題を閲覧できます。これはJira Service Desk プロジェクトだけでなく、JiraCoreプロジェクト、JiraSoftwareプロジェクトも含みます。

3.9.16までのすべてのバージョン、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0が、この脆弱性の影響を受けます。

本件の対応状況はこちらの課題で追跡できます。https://jira.atlassian.com/browse/JSDSERVER-6590

* Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この権限を変更してもポータルアクセス権限を持つ攻撃者によって悪用される脆弱性は解除されません。Atlassianは権限を変更することを推奨していません。代わりに次のセクションで説明する指示を読み、それに従ってください。

謝辞

私たちは、この脆弱性を発見した Raphaël Arrouas に感謝します。

緩和策

 Jira Service Deskをただちにアップグレードできない、Jira Cloud への移行 の処理ができない場合は、一時的な対応策として、以下のいずれかが可能です。

Jira Service Desk をアップグレードした後は、この緩和策を削除できます。

URL パストラバーサルによる情報開示 - CVE-2019-15004

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。


説明

Jira Service Deskは、設計上、カスタマーポータル ユーザーへは リクエストの作成権限と課題の閲覧権限のみ付与しています。これにより、Jiraへ直接アクセスすることなくカスタマーポータルでやりとりできます。ポータルへアクセスできる攻撃者*が、パストラバーサルの脆弱性を悪用して、これらの制限を無視できる可能性があります。 この悪用により、攻撃者は脆弱性のあるインスタンスのJiraプロジェクト内のすべての課題を閲覧できます。これはJira Service Desk プロジェクトだけでなく、JiraCoreプロジェクト、JiraSoftwareプロジェクトも含みます。

3.9.16までのすべてのバージョン、3.10.0 - 3.16.9、4.0.0 - 4.2.5、4.3.0 - 4.3.4、4.4.0 - 4.4.2、4.5.0が、この脆弱性の影響を受けます。

 https://jira.atlassian.com/browse/JSDSERVER-6589

* Jira Service Deskプロジェクトの「顧客の権限」の「誰がリクエストを行うことができますか?」にて、「誰でもサービスデスクにメールを送信することができ、ポータル内でリクエストを行うことができます」に設定されている場合、攻撃者は、プロジェクトへのアクセス権を自身へ付与できることにご注意ください。この権限を変更してもポータルアクセス権限を持つ攻撃者によって悪用される脆弱性は解除されません。Atlassianは権限を変更することを推奨していません。代わりに次のセクションで説明する指示を読み、それに従ってください。

謝辞

私たちは、この脆弱性を発見した Raphaël Arrouas に感謝します

緩和策

 Jira Service Deskをただちにアップグレードできない、Jira Cloud への移行 の処理ができない場合は、一時的な対応策として、以下のいずれかが可能です。

Jira Service Desk をアップグレードした後は、この緩和策を削除できます。

修正

Atlassianは、この問題に対処するために Jira Service Desk Server と Jira Service Desk Data Center  Jira Service Desk Data Center の次のバージョンをリリースしました。

Jira Service Desk

あなたにしてほしいこと

Jira Service Desk の最新バージョンへのアップグレード

Atlassian は、最新バージョンへアップグレードすることを推奨しています。 Jira Service Desk Server /Jira Service Desk Data Center の最新バージョンの詳細説明は、リリースノートをご確認ください。

以下のバージョンへのJira Service Desk のアップグレード 

Jira Service Deskを以下に指定されているバージョンにアップグレードします。


Jira Service Desk をアップグレードするには、Jira Coreのアップグレードも必要です。
compatibility matrix でご利用のJira Service Desk バージョンと互換性のあるバージョンをご確認ください。

以下のバージョンの場合...

...以下のバグフィックスバージョンへアップグレードする:

4.5.x4.5.1
4.4.x4.4.3

4.3.x

4.3.5

4.2.x

4.2.6

4.1.x4.5.1 (推奨)
4.0.x4.5.1 (推奨)

3.16.x

3.16.10

3.9.x

3.16.10

3.9.17

古いバージョン (3.9.xより前)

現在のバージョン:

4.4.1

4.3.4

エンタープライズリリースバージョン:

4.5.1 (推奨)

3.16.10

3.9.17



  • No labels

This page has no comments.