Bitbucket Server セキュリティ アドバイザリ 2018-03-21

2018-03-22 (Thu)  •  By 伊藤  •  ドキュメント  •  Bitbucket セキュリティ勧告 翻訳

今回の記事は、Bitbucket 管理ドキュメント「Bitbucket Server security advisory 2018-03-21 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Bitbucket Server – ブラウザー内編集を経由してリモートからコードを実行される – CVE-2018-5225

注意 : 2014 年 09 月以降、 アトラシアンからバイナリ形式のバグ パッチが提供されることはありません。その代わり、バックポート対象のプラットフォーム バージョンとフューチャー バージョンに対して新たにバグ修正リリースが作成されます。

概要
  • CVE-2018-5225 – Bitbucket Server – ブラウザー内編集を経由してリモートからコードを実行される
アドバイザリ公開日
  • 2018 年 03 月 21 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Bitbucket Server
影響を受ける Bitbucket Server バージョン
  • 4.13.0 <= version < 5.4.8
  • 5.5.0 <= version < 5.5.8
  • 5.6.0 <= version < 5.6.5
  • 5.7.0 <= version < 5.7.3
  • 5.8.0 <= version < 5.8.2
修正済み Bitbucket Server バージョン
  • 5.4.8
  • 5.5.8
  • 5.6.5
  • 5.7.3
  • 5.8.2
  • 5.9.0
CVE ID
  • CVE-2018-5225

脆弱性の概要

このアドバイザリでは、Bitbucket Server に影響を及ぼす 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせしています。5.4.8 (4.13.0~5.4.7 用修正済みバージョン) よりも前、5.5.0 から 5.5.8 (5.5.x 用修正済みバージョン) より前、5.6.0 から 5.6.5 (5.6.x 用修正済みバージョン) より前、5.7.0 から 5.7.3 (5.7.x 用修正済みバージョン) より前、および 5.8.0 から 5.8.2 (5.8.x 用修正済みバージョン) より前の すべてのバージョン の Bitbucket Server はこの脆弱性の影響を受けます。Bitbucket Server 5.9.0 は今回の脆弱性の影響を受けません。

バージョン 5.4.8、5.5.8、5.6.5、5.7.3、5.8.2 または 5.9.0 の Bitbucket Server にアップグレードしたユーザーは影響を受けません。

4.13.0 以降 5.4.8 (4.13.0~5.4.7 用修正済みバージョン) よりも前のバージョンの Bitbucket Server をダウンロード/インストールしたユーザー

5.5.0 以降 5.5.8 (5.5.x 用修正済みバージョン) よりも前のバージョンの Bitbucket Server をダウンロード/インストールしたユーザー

5.6.0 以降 5.6.5 (5.6.x 用修正済みバージョン) よりも前のバージョンの Bitbucket Server をダウンロード/インストールしたユーザー

5.7.0 以降 5.7.3 (5.7.x 用修正済みバージョン) よりも前のバージョンの Bitbucket Server をダウンロード/インストールしたユーザー

5.8.0 以降 5.8.2 (5.8.x 用修正済みバージョン) よりも前のバージョンの Bitbucket Server をダウンロード/インストールしたユーザー

お使いの Bitbucket Server インストレーションの アップグレード直ちに 行い、脆弱性に対応してください。

ブラウザー内編集を経由してリモートからコードを実行される

重要度

セキュリティ問題に関する重大度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Bitbucket Server の認証されたユーザーは、リポジトリ内のシンボリック リンクを編集することでブラウザー内編集機能を利用してリモートからコードを実行できます。

5.4.8 (4.13.0~5.4.7 用修正済みバージョン) よりも前、5.5.0 から 5.5.8 (5.5.x 用修正済みバージョン) より前、5.6.0 から 5.6.5 (5.6.x 用修正済みバージョン) より前、5.7.0 から 5.7.3 (5.7.x 用修正済みバージョン) より前、および 5.8.0 から 5.8.2 (5.8.x 用修正済みバージョン) より前の すべてのバージョン の Bitbucket Server はこの脆弱性の影響を受けます。Bitbucket Server 5.9.0 は今回の脆弱性の影響を受けません。この問題は BSERV-10684 で管理されています。

修正

この問題に対応するために弊社は以下の手段を採りました。

  1. この問題の修正を含む Bitbucket Server バージョン 5.9.0 をリリースしました。「Bitbucket Server ダウンロード センター 」からダウンロードできます。
  2. この問題の修正を含む Bitbucket Server バージョン 5.8.2 をリリースしました。「Bitbucket Server ダウンロード アーカイブ 」からダウンロードできます。
  3. この問題の修正を含む Bitbucket Server バージョン 5.7.3 をリリースしました。「Bitbucket Server ダウンロード アーカイブ 」からダウンロードできます。
  4. この問題の修正を含む Bitbucket Server バージョン 5.6.5 をリリースしました。「Bitbucket Server ダウンロード アーカイブ 」からダウンロードできます。
  5. この問題の修正を含む Bitbucket Server バージョン 5.5.8 をリリースしました。「Bitbucket Server ダウンロード アーカイブ 」からダウンロードできます。
  6. この問題の修正を含む Bitbucket Server バージョン 5.4.8 をリリースしました。「Bitbucket Server ダウンロード アーカイブ 」からダウンロードできます。

取るべき対策

アトラシアンは最新バージョンへのアップグレードを推奨します。Bitbucket Server 最新バージョンの詳細については、「Bitbucket Server リリース ノート 」を参照してください。Bitbucket Server 最新バージョンは「Bitbucket Server ダウンロード センター 」からダウンロードできます。

軽減策

影響を受けるバージョンの Bitbucket Server を稼働しており、かつ 対策済みバージョンへのアップグレードを行えない場合、以下の軽減策を適用します。

  1. bitbucket.properties ファイル内で feature.file.editor=false をセットします。
  2. 修正を有効にするために Bitbucket Server を再起動します。

注意 : サードパーティ アドオンが API を使用してプログラム的にこのファイルを編集している場合、この軽減策は今回の脆弱性を軽減しません。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー 弊社のサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ