Bamboo セキュリティ アドバイザリ 2017-12-13

2017-12-13 (Wed)  •  By 伊藤  •  ドキュメント  •  Bamboo セキュリティ勧告 翻訳

今回の記事は、Bamboo 管理ドキュメント「Bamboo Security Advisory 2017-12-13 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Bamboo – 各種脆弱性 – CVE-2017-14589 および CVE-2017-14590

注意 : 2014 年 09 月以降、 アトラシアンからバイナリ形式のバグ パッチが提供されることはありません。その代わり、メジャー バージョンに対して新たにメンテナンス リリースが作成されます。

概要
  • CVE-2017-14589 – OGNL 二重評価を経由したリモートからのコード実行
  • CVE-2017-14590 – Mercurial リポジトリ処理を経由した引数インジェクション
アドバイザリ公開日
  • 2017 年 12 月 12 日 10 AM PST (太平洋標準時刻/時差 -8 時間)
製品
  • Bamboo
影響を受けるバージョン
  • 6.1.6 よりも前のバージョン
  • 6.2.0 以降かつ 6.2.5 よりも前のバージョン
修正済みバージョン
  • 6.1.6
  • 6.2.5
CVE ID
  • CVE-2017-14589
  • CVE-2017-14590

脆弱性の概要

このアドバイザリでは Bamboo に影響を及ぼす 重要度 “重大” であるセキュリティの脆弱性についてお知らせしています。6.1.6 (6.1.x 用修正済みバージョン) よりも前、および 6.2.0 以降かつ 6.2.5 (6.2.x 用修正済みバージョン) よりも前の すべてのバージョン の Bamboo はこれらの脆弱性の影響を受けます。

Bamboo をバージョン 6.1.6 または 6.2.5 にアップグレードしたユーザーは影響を受けません。

6.1.6 (6.1.x 用修正済みバージョン) よりも前のバージョンの FBamboo をダウンロード/インストールしたユーザー

バージョン 6.2.0 以降かつ 6.2.5 (6.2.x 用修正済みバージョン) より前のバージョンの Bamboo をダウンロード/インストールしたユーザー

お使いの Bamboo インストレーションを 直ちにアップグレードする ことで脆弱性に対応してください。

OGNL 二重評価を経由してリモートからコードを実行される (CVE-2017-14589)

重要度

セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これは弊社独自の評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Struts FreeMarker タグを経由することで FreeMarker テンプレートで OGNL を二重評価することが可能でした。Bamboo への限定的な管理者権限を持つ攻撃者、または Bamboo 管理者が訪問するサイトをホストしている攻撃者は、この脆弱性を悪用することで脆弱性を持つ Bamboo が稼働するシステム上で任意の Java コードを実行できます。

6.1.6 (修正済みバージョン) よりも前、および 6.2.0 以降かつ 6.2.5 (6.2.x の修正済みバージョン) より前のすべての Bamboo バージョンはこの脆弱性の影響を受けます。この問題は https://jira.atlassian.com/browse/BAM-18842 で管理されています。

謝辞

この問題を報告していただいた Sebastian Perez 氏に感謝いたします。

軽減策

この問題に関する軽減策はありません。

Mercurial リポジトリ処理における引数インジェクション (CVE-2017-14590)

重要度

セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これは弊社独自の評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Bamboo は Mercurial リポジトリの引数パラメーターを含む ブランチ名をチェックしていませんでした。以下の 1 つ以上の権限を持つ攻撃者は、脆弱性を持つ Bamboo サーバー上で稼働するシステムに対して任意のコードを実行できます。

  • Bamboo でリポジトリを作成できる
  • Mercurial リポジトリにリンクされていない既存の Bamboo プランを編集できる
  • 攻撃者が使用権限を持つ Mercurial リポジトリに少なくとも 1 つリンクされた Bamboo プランを作成または編集できる
  • Bamboo プランが使用する Mercurial リポジトリでブランチ検出が有効になっており、かつそのブランチへコミットできる

2.7.0 以降かつ 6.1.6 (6.1.x 用修正済みバージョン) よりも前、および 6.2.0 以降かつ 6.2.5 (6.2.x 用修正済みバージョン) よりも前のバージョンの Bamboo はこの脆弱性の影響を受けます。この問題は https://jira.atlassian.com/browse/BAM-18843 で管理されています。

謝辞

この問題を報告していただいた Zhang Tianqi @ Tophant 氏に感謝いたします。

軽減策

管理セクションのアドオン メニュー経由で “Atlassian Bamboo Mercurial Repository Plugin” を無効にします。

修正

この問題に対応するために弊社は以下の手段を採りました。

取るべき対策

アトラシアンは最新バージョンへのアップグレードを推奨します。Bamboo 最新バージョンの詳細については、リリース ノート を参照してください。Bamboo 最新バージョンは ダウンロード センター からダウンロードできます。

Bamboo をバージョン 6.2.5 以降にアップグレードする

Bamboo 6.1.x を稼働しており、かつ 6.2.5 にアップグレードできない場合はバージョン 6.1.6 にアップグレードしてください。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

弊社の新しいポリシーに基づき、重大なセキュリティに関するバグ修正の対象となるのは、JIRA と Confluence については 12 か月以内にリリースされたメジャー ソフトウェア バージョンです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

今後、バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー 弊社のサポート終了ポリシーは製品により異なります。詳細については、EOL ポリシーを参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ