Fisheye および Crucible セキュリティ アドバイザリ 2018-01-31

2018-01-31 (Wed)  •  By 伊藤  •  ドキュメント  •  Crucible FishEye セキュリティ勧告 翻訳

今回の記事は、Fisheye 管理ドキュメント「Fisheye and Crucible Security Advisory 2018-01-31 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Fisheye および Crucible – OGNL 二重評価を経由してリモートからコードを実行される – CVE-2017-16861

注意 : 2014 年 09 月以降、 アトラシアンからバイナリ形式のバグ パッチが提供されることはありません。その代わり、メジャー バージョンに対して新たにメンテナンス リリースが作成されます。

概要
  • CVE-2017-16861 – OGNL 二重評価を経由してリモートからコードを実行される
アドバイザリ公開日
  • 2018 年 01 月 31 日 10 AM PDT (太平洋標準時刻/時差 -8 時間)
製品
  • Fisheye および Crucible
影響を受けるバージョン
  • 4.4.5 よりも前のバージョン
  • 4.5.0
  • 4.5.1
修正済みバージョン
  • 4.4.5
  • 4.5.2
CVE ID
  • CVE-2017-16861

脆弱性の概要

このアドバイザリでは、Fisheye および Crucible に影響を及ぼす 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせしています。4.4.5 (4.4.x 用修正済みバージョン) よりも前、および 4.5.0 から 4.5.2 (4.5.x 用修正済みバージョン) より前の すべてのバージョン の Fisheye および Crucible はこの脆弱性の影響を受けます。

バージョン 4.4.5 または 4.5.2 の Fisheye および Crucible インストレーションにアップグレードしたユーザーは影響を受けません。

4.4.5 (4.4.x 用修正済みバージョン) よりも前のバージョンの Fisheye または Crucible をダウンロード/インストールしたユーザー

バージョン 4.5.0 以降かつ 4.5.2 (4.5.x 用修正済みバージョン) より前のバージョンの Fisheye または Crucible をダウンロード/インストールしたユーザー

お使いの Fisheye および Crucible インストレーションの アップグレード直ちに 行い、脆弱性に対応してください。

OGNL 二重評価を経由してリモートからコードを実行される (CVE-2017-16861)

重要度

セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

特定のリダイレクト操作、WebWork URL、ならびに JSP ファイルのアンカー タグにおいて OGNL 二重評価を起こすことが可能でした。Fisheye や Crucible の Web インターフェイスにアクセス可能な攻撃者、または Fisheye や Crucible の Web インターフェイスにアクセス可能なユーザーが訪問する Web サイトをホストしている攻撃者は、この脆弱性を悪用することで脆弱性を持つバージョンの Fisheye や Crucible が稼働するシステム上で任意の Java コードを実行できます。

4.4.5 (4.4.x 用修正済みバージョン) よりも前、および 4.5.0 から 4.5.2 (4.5.x 用修正済みバージョン) より前のすべてのバージョンの Fisheye および Crucible はこの脆弱性の影響を受けます。

Fisheye に関してこの問題は FE-6991 で管理されています。

Crucible に関してこの問題は CRUC-8156 で管理されています。

軽減策

この問題に関する軽減策はありません。

修正

この問題に対応するために弊社は以下の手段を採りました。

  • この問題の修正を含む Fisheye バージョン 4.5.2 をリリースしました。
  • この問題の修正を含む Crucible バージョン 4.5.2 をリリースしました。
  • この問題の修正を含む Fisheye バージョン 4.4.5 をリリースしました。
  • この問題の修正を含む Crucible バージョン 4.4.2 をリリースしました。

取るべき対策

アトラシアンは最新バージョンへのアップグレードを推奨します。Fisheye 最新バージョンの詳細については、「Fisheye リリース ノート 」を参照してください。Fisheye 最新バージョンは ダウンロード センター からダウンロードできます。Crucible 最新バージョンの詳細については、「Crucible リリース ノート 」を参照してください。Crucible 最新バージョンは ダウンロード センター からダウンロードできます。

Fisheye および Crucible をバージョン 4.5.2 以降にアップグレードする

Fisheye または Crucible 4.4.x を稼働しており、かつ 4.5.2 にアップグレードできない場合、バージョン 4.4.5 にアップグレードしてください。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

弊社の新しいポリシーに基づき、重大なセキュリティに関するバグ修正の対象となるのは、JIRA と Confluence については 12 か月以内にリリースされたメジャー ソフトウェア バージョンです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

今後、バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー 弊社のサポート終了ポリシーは製品により異なります。詳細については、EOL ポリシーを参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ