Fisheye および Crucible セキュリティ アドバイザリ 2018-03-28

2018-03-29 (Thu)  •  By 伊藤  •  ドキュメント  •  Crucible FishEye セキュリティ勧告 翻訳

今回の記事は、Fisheye 管理ドキュメント「Fisheye and Crucible Security Advisory 2018-03-28 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Fisheye および Crucible – Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション – CVE-2018-5223

注意 : 2014 年 09 月以降、 アトラシアンからバイナリ形式のバグ パッチが提供されることはありません。その代わり、バックポート対象のプラットフォーム バージョンとフューチャー バージョンに対して新たにバグ修正リリースが作成されます。

概要
  • CVE-2018-5223 – Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション
アドバイザリ公開日
  • 2018 年 03 月 28 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Fisheye および Crucible
影響を受ける Fisheye および Crucible バージョン
  • version < 4.4.6
  • 4.5.0
  • 4.5.1
  • 4.5.2
修正済み Fisheye および Crucible バージョン
  • 4.4.6
  • 4.5.3
CVE ID
  • CVE-2018-5223

脆弱性の概要

このアドバイザリでは、Fisheye および Crucible に影響を及ぼす 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせしています。Windows オペレーティング システム上で稼働する 4.4.6 (4.4.x 用修正済みバージョン) よりも前、および 4.5.0 から 4.5.3 (4.5.x 用修正済みバージョン) より前の すべてのバージョン の Fisheye および Crucible はこの脆弱性の影響を受けます。

バージョン 4.4.6 または 4.5.3 の Fisheye および Crucible にアップグレードしたユーザーは影響を受けません。

Fisheye および Crucible を Windows オペレーティング システムで稼働していないユーザーは影響を受けません。

4.4.6 (4.4.x 用修正済みバージョン) よりも前のバージョンの Fisheye または Crucible をダウンロード/インストールしたユーザー

バージョン 4.5.0 以降かつ 4.5.3 (4.5.x 用修正済みバージョン) より前のバージョンの Fisheye または Crucible をダウンロード/インストールしたユーザー

お使いの Fisheye および Crucible インストレーションの アップグレード直ちに 行い、この脆弱性に対応してください。

Windows 上での Mercurial リポジトリ URI 処理を経由した引数インジェクション (CVE-2018-5223)

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これは弊社独自の評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Mercurial リポジトリ URI の構成が Windows オペレーティング システムが引数パラメーターと認識する値を含む場合でも Fisheye および Crucible はそれ正しく確認していませんでした。攻撃者が Fisheye や Crucible でリポジトリを追加する権限を持つ場合、Windows オペレーティング システム上で脆弱性のあるバージョンの Fisheye や Crucible が稼働するシステムで任意のコードを実行できます。

4.4.6 (4.4.x 用修正済みバージョン) よりも前、および 4.5.0 から 4.5.3 (4.5.x 用修正済みバージョン) より前のすべてのバージョンの Fisheye および Crucible はこの脆弱性の影響を受けます。

Fisheye に関してこの問題は FE-7014 で管理されています。

Crucible に関してこの問題は CRUC-8181 で管理されています。

謝辞

この問題を報告してくださった Zhang Tianqi @ Tophant 氏に感謝いたします。

軽減策

アトラシアンは最新バージョンへのアップグレードを推奨します。しかし、アップグレードを行えない場合、以下の軽減策を適用します。

実行可能な Mercurial クライアントを Fisheye および Crucible サーバーからアンインストールすることでこの問題を軽減できます。

修正

この問題に対応するために弊社は以下の手段を採りました。

  1. この問題の修正を含む Fisheye バージョン 4.5.3 をリリースしました。「Fisheye ダウンロード センター 」からダウンロードできます。
  2. この問題の修正を含む Crucible バージョン 4.5.3 をリリースしました。「Crucible ダウンロード センター 」からダウンロードできます。
  3. この問題の修正を含む Fisheye バージョン 4.4.6 をリリースしました。「Fisheye ダウンロード アーカイブ 」からダウンロードできます。
  4. この問題の修正を含む Crucible バージョン 4.4.6 をリリースしました。「Crucible ダウンロード アーカイブ 」からダウンロードできます。

取るべき対策

アトラシアンは最新バージョンへのアップグレードを推奨します。Fisheye 最新バージョンの詳細については、「Fisheye リリース ノート 」を参照してください。Fisheye 最新バージョンは「Fisheye ダウンロード センター 」からダウンロードできます。Crucible 最新バージョンの詳細については、「Crucible リリース ノート 」を参照してください。Crucible 最新バージョンは「Crucible ダウンロード センター 」からダウンロードできます。

Fisheye および Crucible をバージョン 4.5.3 以降にアップグレードしてください。

Fisheye または Crucible 4.4.x を稼働しており、かつ 4.5.3 にアップグレードできない場合、バージョン 4.4.6 にアップグレードしてください。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com にてサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー 弊社のサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ