Bamboo セキュリティ アドバイザリ 2016-01-20

Bamboo – 逆シリアル化を行うことで、遠隔からコードを実行したり、認証なしでサービスを攻撃したりできる。

注意 : 2014 年 9 月以降、アトラシアンからバイナリ形式の不具合修正プログラムが提供されることはありません。その代わり、メジャー バージョンに対して新たにメンテナンス リリースが作成されます。

アドバイザリ公開日 : 2016 年 01 月 20 日 10 AM PST (Pacific Standard Time, -8 hours)

CVE ID :

• CVE-2014-9757 – Deserialisation in Smack.
• CVE-2015-8360 – Deserialisation in Bamboo.
• CVE-2015-8361 – Missing authentication checks in exposed services.

製品 : Bamboo

影響を受ける Bamboo 製品バージョン :

• 2.3.1 から 5.9.9 より前のバージョン (=5.9.7)

修正済みの Bamboo 製品バージョン :

• 5.9.x 向けには、今回の問題に対応した Bamboo 5.9.9 がリリースされています。
• 5.10.x 向けには、今回の問題に対応した Bamboo 5.10.0 がリリースされています。

脆弱性の概要

このアドバイザリでは、複数の 致命的な セキュリティ脆弱性についてお知らせしています。その中で最も古いものは Bamboo 2.3.1 で発見されています。2.3.1 から 5.9.9 (5.9.x 用の修正バージョン) より前の Bamboo バージョンがこの脆弱性の影響を受けます。

Smack 経由で逆シリアル化を行うことで遠隔からコードを実行できる脆弱性 (CVE-2014-9757)

重大度

「セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこれらの脆弱性の評価を「致命的」としています。この基準では、脆弱性を致命的、高、中、または低に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Bamboo は、XMPP からの逆シリアル化メッセージを受け取る古いバージョンの Smack XMPP ライブラリを使用していました。XMPP 接続が構成されている場合、攻撃者はこの脆弱性を利用することで、脆弱なバージョンの Bamboo システム上で好きな Java コードを実行できます。この問題を悪用するためには、Bamboo への攻撃者は構成された XMPP サーバーから Bamboo への XMPP メッセージを修正する必要があります。

2.4 から 5.9.9 (5.9.x 用の修正バージョン) より前のすべてのバージョンの Bamboo がこの脆弱性の影響を受けます。この問題は BAM-17099 で管理されています。

逆シリアル化を行うことで遠隔からコードを実行できる脆弱性 (CVE-2015-8360)

重大度

「セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこれらの脆弱性の評価を「致命的」としています。この基準では、脆弱性を致命的、高、中、または低に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Bamboo は、暫定的なユーザー 入力を制限なしに非シリアル化できるリソースを含んでいました。攻撃者はこの脆弱性を利用することで、脆弱なバージョンの Bamboo システム上で好きな Java コードを実行できます。この問題を悪用するためには、攻撃者は Bamboo JMS ポート (既定値は 5463 番ポート) にアクセスできることが必要です。

2.3.1 から 5.9.9 (5.9.x 用の修正バージョン) より前のすべてのバージョンの Bamboo がこの脆弱性の影響を受けます。この問題は BAM-17101 で管理されています。

サービスが認証なしに攻撃にさらされる脆弱性 (CVE-2015-8361)

重大度

「セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこれらの脆弱性の評価を「致命的」としています。この基準では、脆弱性を致命的、高、中、または低に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Bamboo は、最初に認証チェックを行わずにサービスを公開していました。攻撃者はこの脆弱性を利用することで。Bamboo から秘密情報を抽出したり、特定の設定を修正したり、そしてビルド エージェントを管理したりできます。この問題を悪用するためには、攻撃者は Bamboo JMS ポートにアクセスできることが必要です。

2.4 から 5.9.9 (5.9.x 用の修正バージョン) より前のすべてのバージョンの Bamboo がこの脆弱性の影響を受けます。この問題は BAM-17102 で管理されています。

対応

これら問題に対処するために、アトラシアンは以下の手段を取りました。

• これら問題に対応した Bamboo バージョン 5.10.0 をリリースしました。
• これら問題に対応した Bamboo バージョン 5.9.9 をリリースしました。

行うべきこと

アップグレード (推奨)

脆弱性と修正バージョンは、上記説明セクションで解説されています。アトラシアンは、最新バージョンへのアップグレードを推奨します。

Bamboo をバージョン 5.9.9 またはそれ以降にアップグレードしてください。

Bamboo 5.9.x を稼動しており、かつ Bamboo 5.10.x へアップグレードできない場合、バージョン 5.9.9 へアップグレードしてください。

最新バージョンの Bamboo の詳細については、リリース ノート を参照してください。最新バージョンの Bamboo のダウンロードは、ダウンロード センター で行えます。

サポート

このアドバイザリに関するご質問や懸念がございましたら、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー	弊社の新しいポリシーに基づき致命的なセキュリティのバグ修正版がリリース対象となるのは、直近リリースされたメジャー バージョンです。新ポリシーでカバーされるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。 今後、バイナリ形式のパッチがリリースされることはありません。
セキュリティ問題に関する重大度の基準	Atlassian のセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、 FIRST.org を参照してください。
サポート終了ポリシー	弊社のサポート終了ポリシーは製品により異なります。詳細については、EOL ポリシーを参照してください。