Bamboo セキュリティ アドバイザリ 2018-03-28

2018-03-29 (Thu)  •  By 伊藤  •  ドキュメント  •  Bamboo セキュリティ勧告 翻訳

今回の記事は、Bamboo 管理ドキュメント「Bamboo Security Advisory 2018-03-28 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Bamboo – Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション – CVE-2018-5224

注意 : 2014 年 09 月以降、 アトラシアンからバイナリ形式のバグ パッチが提供されることはありません。その代わり、バックポート対象のプラットフォーム バージョンとフューチャー バージョンに対して新たにバグ修正リリースが作成されます。

概要
  • CVE-2018-5224 – Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション
アドバイザリ公開日
  • 2018 年 03 月 28 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Bamboo
影響を受ける Bamboo バージョン
  • 2.7.0 <= version < 6.3.3
  • 6.4.0 <= version < 6.4.1
修正済み Bamboo バージョン
  • 6.3.3
  • 6.4.1
CVE ID
  • CVE-2018-5224

脆弱性の概要

このアドバイザリでは、Bamboo 2.7.0 導入された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせしています。Windows オペレーティング システム上で稼働する 2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前、および 6.4.0 から 6.4.1 (6.4.x 用修正済みバージョン) より前の Bamboo バージョンはこの脆弱性の影響を受けます。

バージョン 6.3.3 または 6.4.1 の Bamboo にアップグレードしたユーザーは影響を受けません。

Bamboo を Windows オペレーティング システムで稼働していないユーザーは影響を受けません。

2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前のバージョンの Bamboo Server をダウンロード/インストールしたユーザー

バージョン 6.4.0 以降かつ 6.4.1 (6.4.x 用修正済みバージョン) より前のバージョンの Bamboo Server をダウンロード/インストールしたユーザー

お使いの Bamboo インストレーションの アップグレード直ちに 行い、この脆弱性に対応してください。

Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション (CVE-2018-5224)

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これは弊社独自の評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Mercurial リポジトリ URI の構成が Windows オペレーティング システムが引数パラメーターと認識する値を含む場合でも Bamboo はそれ正しく確認していませんでした。攻撃者が以下の権限を 1 つ以上持つ場合、Windows オペレーティング システム上で脆弱性のあるバージョンの Bamboo が稼働するシステムで任意のコードを実行できます。

  • Bamboo 上でリポジトリを作成できる
  • Mercurial リポジトリにリンクされていない既存の Bamboo プランを編集できる
  • Bamboo Specs を使用してグローバルまたはプロジェクト内に Bamboo プランを作成できる

2.7.0 から 6.3.3 (6.3.x 用修正済みバージョン) よりも前、および 6.4.0 から 6.4.1 (6.4.x 用修正済みバージョン) より前のすべてのバージョンの Bamboo はこの脆弱性の影響を受けます。

この問題は BAM-19743 で管理されています。

謝辞

この問題を報告してくださった Zhang Tianqi @ Tophant 氏に感謝いたします。

軽減策

管理セクションの [Addons] メニューを使用して “Atlassian Bamboo Mercurial Repository Plugin” を無効化します。

修正

この問題に対応するために弊社は以下の手段を採りました。

  1. この問題の修正を含む Bamboo バージョン 6.4.1 をリリースしました。「Bamboo ダウンロード センター 」からダウンロードできます。
  2. この問題の修正を含む Bamboo バージョン 6.3.3 をリリースしました。「Bamboo ダウンロード アーカイブ 」からダウンロードできます。

取るべき対策

アトラシアンは最新バージョンへのアップグレードを推奨します。Bamboo 最新バージョンの詳細については、「Bamboo リリース ノート 」を参照してください。Bamboo 最新バージョンは「Bamboo ダウンロード センター 」からダウンロードできます。

Bamboo をバージョン 6.4.1 以降にアップグレードしてください。

Bamboo 6.3.x を稼働しており、かつ 6.4.1 にアップグレードできない場合、バージョン 6.3 にアップグレードしてください。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー 弊社のサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ