Bamboo セキュリティ アドバイザリ 2017-10-11

2017-10-12 (Thu)  •  By 伊藤  •  ドキュメント  •  Bamboo セキュリティ勧告 翻訳

今回の記事は、Bamboo 管理ドキュメント「Bamboo Security Advisory 2017-10-11 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Bamboo – リモートからのコード実行 – CVE-2017-9514

注意 : 2014 年 09 月以降、 Atlassian からバイナリ形式のバグ パッチが提供されることはありません。その代わり、メジャー バージョンに対して新たにメンテナンス リリースが作成されます。

概要CVE-2017-9514 – Bamboo に関するリモートからのコード実行
アドバイザリの公開日 2017 年 10 月 11 日 10 AM PST (太平洋標準時刻/時差 -7 時間)
製品Bamboo
影響を受ける Bamboo バージョン
  • 6.0.0 <= version < 6.0.5 
  • 6.1.0 <= version < 6.1.4
修正済み Bamboo バージョン
  • 6.0.x : この問題に対応するために Bamboo 6.0.5 がリリースされています。
  • 6.1.x : この問題に対応するために Bamboo 6.1.4 がリリースされています。
  • 6.2.x : この問題に対応するために Bamboo 6.2.1 がリリースされています。
CVE IDCVE-2017-9514

脆弱性の概要

このアドバイザリでは Bamboo 6.0.0 以降に含まれる、重要度が “致命的” であるセキュリティの脆弱性についてお知らせしています。6.0.0 から 6.0.5 (6.0.x 用の修正バージョン) よりも前のバージョン、6.1.0 から 6.1.4 (6.1.x 用の修正バージョン) よりも前のバージョン、および 6.2.0 から 6.2.1 (6.2.x 用の修正バージョン) よりも前のバージョンの Bamboo はこの脆弱性の影響を受けます。

バージョン 6.2.1、6.1.4、もしくは 6.0.5 にアップグレード済みのユーザーは影響を受けません。

6.0.0 以降、かつ 6.0.5 (6.0.x 用の修正バージョン) よりも前の Bamboo をダウンロード/インストールしたユーザーの場合

6.1.0 以降、かつ 6.1.4 (6.1.x 用の修正バージョン) よりも前の Bamboo をダウンロード/インストールしたユーザーの場合

直ちに お使いの Bamboo インストレーションの アップグレード を行い、この脆弱性に対応してください。

YAML ファイルをデシリアライズすることでリモートからコードを実行できる (CVE-2017-9514)

重要度

セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を “致命的” としています。この基準では、脆弱性を致命的、高、中、または低に分類しています。この基準では、脆弱性を致命的、高、中 もしくは低に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Bamboo は YAML ファイルを解析する REST エンドポイントを実装していましたが、読み込むクラスの種類を十分に制限できていませんでした。ユーザーとして Bamboo にログイン可能な攻撃者はこの脆弱性を利用することで、脆弱性を持つバージョンの Bamboo システム上で任意の Java コードを実行できます。

6.0.0 から 6.0.5 (6.0.x 用の修正バージョン) よりも前のバージョン、6.1.0 から 6.1.4 (6.1.x 用の修正バージョン) よりも前のバージョン、および 6.2.0 から 6.2.1 (6.2.x 用の修正バージョン) よりも前のバージョンの Bamboo はこの脆弱性の影響を受けます。この問題は BAM-18735 – Remote Code Execution – CVE-2017-9514 で管理されています。

修正

この問題に対応するために弊社は以下の手段を取りました。

  1. この問題の修正を含む Bamboo バージョン 6.0.5 をリリースしました。
  2. この問題の修正を含む Bamboo バージョン 6.1.4 をリリースしました。
  3. この問題の修正を含む Bamboo バージョン 6.2.1 をリリースしました。

取るべき対策

アトラシアンは最新バージョンへのアップグレードを推奨します。Bamboo 最新バージョンの詳細については、リリース ノート を参照してください。Bamboo 最新バージョンのダウンロードは、ダウンロード センター から行えます。

Bamboo をバージョン 6.2.1 以降にアップグレードしてください。

Bamboo 6.1.x を稼動しており、かつ、6.2.1 へのアップグレードを行えない場合 は、バージョン 6.1.4 にアップグレードしてください。

Bamboo 6.0.x を稼動しており、かつ、6.1.4 へのアップグレードを行えない場合 は、バージョン 6.0.5 にアップグレードしてください。

サポート

このアドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

このアドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

弊社の新しいポリシーに基づき致命的なセキュリティのバグ修正版がリリース対象となるのは、直近リリースされたメジャー バージョンです。新ポリシーでカバーされるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

今後、バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準

Atlassian のセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、 FIRST.org を参照してください。

サポート終了ポリシー

弊社のサポート終了ポリシーは製品により異なります。詳細については、EOL ポリシーを参照してください。


Related Articles

お気軽にお問い合わせください

お問い合わせ