Crowd セキュリティ アドバイザリ 2019-05-22

2019-05-23 (Thu)  •  By 伊藤  •  ドキュメント  •  Crowd セキュリティ勧告 翻訳

今回の記事は、Crowd 管理ドキュメント「Crowd Security Advisory 2019-05-22 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Crowd : pdkinstall 開発プラグインが不適切に有効化されている (CVE-2019-11580)

概要
  • pdkinstall 開発プラグインが不適切に有効化されている (CVE-2019-11580)
アドバイザリ公開日
  • 2019 年 05 月 22 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Crowd (Server)
  • Crowd (Data Center)
影響を受けるバージョン
  • 2.0.0 以降かつ 3.0.5 よりも前のバージョン
  • 3.1.0 以降かつ 3.1.6 よりも前のバージョン
  • 3.2.0 以降かつ 3.2.8 よりも前のバージョン
  • 3.3.0 以降かつ 3.3.5 よりも前のバージョン
  • 3.4.0 以降かつ 3.4.4 よりも前のバージョン
修正済みバージョン
  • 3.0.5
  • 3.1.6
  • 3.2.8
  • 3.3.5
  • 3.4.4
CVE ID
  • CVE-2019-11580

脆弱性の概要

このアドバイザリでは、Crowd (Server) および Crowd (Data Center) のバージョン 2.1.0 で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性をお知らせします。2.1.0 以降かつ 3.0.5 (3.0.x の修正バージョン) よりも前のバージョン、3.1.0 以降かつ 3.1.6 (3.1.x の修正バージョン) よりも前のバージョン、3.2.0 以降かつ 3.2.8 (3.2.x の修正バージョン) よりも前のバージョン、3.3.0 以降かつ 3.3.5 (3.3.x の修正バージョン) よりも前のバージョン、および 3.4.0 以降かつ 3.4.4 (3.4.x の修正バージョン) よりも前のバージョンのすべての Crowd (Server) および Crowd (Data Center) はこの脆弱性の影響を受けます。

バージョン 3.0.5、3.1.6、3.2.8、3.3.5、または 3.4.4 の Crowd (Server) または Crowd (Data Center) にアップグレードしたユーザーは影響を受けません。

以下のバージョンをお使いの場合 :

  • Crowd (Server) または Crowd (Data Center) 2.1.0 以降かつ 3.0.5 (3.0.x の修正バージョン) よりも前のバージョン
  • Crowd (Server) または Crowd (Data Center) 3.1.0 以降かつ 3.1.6 (3.1.x の修正バージョン) よりも前のバージョン
  • Crowd (Server) または Crowd (Data Center) 3.2.0 以降かつ 3.2.8 (3.2.x の修正バージョン) よりも前のバージョン
  • Crowd (Server) または Crowd (Data Center) 3.3.0 以降かつ 3.3.5 (3.3.x の修正バージョン) よりも前のバージョン
  • Crowd (Server) または Crowd (Data Center) 3.4.0 以降かつ3.4.4 (3.4.x の修正バージョン) よりも前のバージョン

直ちに お使いの Crowd (Server) または Crowd (Data Center) インストレーションのアップグレードを行い、この脆弱性に対応してください。

pdkinstall 開発プラグインが不適切に有効化されている (CVE-2019-11580)

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

攻撃者が認証されていない要求や認証されている要求を Crowd (Server) または Crowd (Data Center) インスタンスに送信できる場合、この脆弱性を利用することで任意のプラグインをインストール可能です。その結果、脆弱性を含むバージョンの Crowd (Server) または Crowd (Data Center) が稼働するシステム上でリモート コード実行を行えます。

2.1.0 以降かつ 3.0.5 (3.0.x の修正バージョン) よりも前のバージョン、3.1.0 以降かつ 3.1.6 (3.1.x の修正バージョン) よりも前のバージョン、3.2.0 以降かつ 3.2.8 (3.2.x の修正バージョン) よりも前のバージョン、3.3.0 以降かつ 3.3.5 (3.3.x の修正バージョン) よりも前のバージョン、および 3.4.0 以降かつ 3.4.4 (3.4.x の修正バージョン) よりも前のバージョンのすべての Crowd (Server) および Crowd (Data Center) はこの脆弱性の影響を受けます。この問題は CWD-5388 で管理されています。

修正

この問題に対応するためにアトラシアンは以下の手段を講じました。

取るべき対策

3.3.0 よりも以前のバージョンを稼働しているユーザーは、CWD-5352 を回避するために 3.2.8 にアップグレードすることを推奨します。 3.3.0 以降のバージョンを稼働しているユーザーは、最新バージョンへのアップグレードを推奨します。Crowd の最新バージョンの詳細については、「Crowd Release Notes 」を参照してください。Crowd の最新バージョンは ダウンロード センター からダウンロードできます。

使用しているバージョン アップグレード先となる不具合修正バージョン
2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1, 2.2.2, 2.2.3, 2.2.4, 2.2.5, 2.2.6, 2.2.7, 2.2.8, 2.2.9, 2.3.0, 2.3.1, 2.3.2, 2.3.3, 2.3.4, 2.3.5, 2.3.6, 2.3.7, 2.3.8, 2.3.9, 2.3.10, 2.4.0, 2.4.1, 2.4.2, 2.4.3, 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2.5.0, 2.5.1, 2.5.2, 2.5.3, 2.5.4, 2.5.5, 2.5.6, 2.5.7, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 2.6.7, 2.7.0, 2.7.1, 2.7.2, 2.8.0, 2.8.1, 2.8.2, 2.8.3, 2.8.4, 2.8.6, 2.8.7, 2.8.8, 2.9.1, 2.9.2, 2.9.3, 2.9.4, 2.9.5, 2.9.6, 2.9.7, 2.10.1, 2.10.2, 2.10.3, 2.10.4, 2.11.0, 2.11.1, 2.11.2, 2.12.0, 2.12.1, 3.0.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4 3.0.5
3.1.0, 3.1.1, 3.1.2, 3.1.3, 3.1.4, 3.1.5 3.1.6
3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4, 3.2.5, 3.2.6, 3.2.7 3.2.8
3.3.0, 3.3.1, 3.3.2, 3.3.3, 3.3.4 3.3.5
3.4.0, 3.4.1, 3.4.2, 3.4.3 3.4.4

軽減策

以下の操作を行うことで、この問題を軽減できます。

  1. Crowd を停止します。
  2. Crowd の インストール ディレクトリおよびデータ ディレクトリ から pdkinstall-plugin jar ファイルを検索/削除します。
  3. <Crowd installation directory>/crowd-webapp/WEB-INF/classes/atlassian-bundled-plugins.zip から pdkinstall-plugin jar ファイルを削除します。
  4. <Crowd installation directory>/crowd-webapp/WEB-INF/classes/atlassian-bundled-plugins.zip ファイルを解凍します。
  5. 展開されたフォルダー内の pdkinstall-plugin-0.4.jar ファイルを削除します。
  6. そのフォルダーのコンテンツを <Crowd installation directory>/crowd-webapp/WEB-INF/classes/atlassian-bundled-plugins.zip として圧縮しなおします。
  7. Crowd を起動します。
  8. インストレーション ディレクトリやデータ ディレクトリ 内に pdkinstall-plugin jar ファイルが存在しないことを確認します。

上記軽減策を Linux システム上で適用する場合、以下の Bash スクリプトを利用できます。

#!/bin/bash
set -u

INSTALLATION_DIRECTORY= # set this to where crowd is installed
DATA_DIRECTORY= # set this to the crowd data directory

if [ -z "$INSTALLATION_DIRECTORY" ]
then
	echo "Please set INSTALLATION_DIRECTORY"
	exit 1
fi

if [ -z "$DATA_DIRECTORY" ]
then
	echo "Please set DATA_DIRECTORY"
	exit 1
fi

if test -f $DATA_DIRECTORY; then
	echo "Please check that DATA_DIRECTORY is correct."
	exit 1
fi


if test -f $INSTALLATION_DIRECTORY/stop_crowd.sh; then
	echo "Stopping Crowd"
	$INSTALLATION_DIRECTORY/stop_crowd.sh > /dev/null
	find $INSTALLATION_DIRECTORY -iname 'atlassian-bundled-plugins.zip' -exec zip -d {}  'pdkinstall-plugin-*.jar' \;
	# You should see something like deleting: pdkinstall-plugin-0.4.jar after the above find command has run

	find $DATA_DIRECTORY -iname 'pdkinstall-plugin*' -exec rm {} \;
	echo "Starting Crowd"
	if test -f $INSTALLATION_DIRECTORY/start_crowd.sh; then
		$INSTALLATION_DIRECTORY/start_crowd.sh
		sleep 60 
		find $DATA_DIRECTORY -iname 'pdkinstall-plugin*' -exec "Failed to apply the mitigation - {} still exists" \;
	else
		echo "Failed to start crowd"
	fi
else
	echo "Unable to stop crowd, please ensure that you have specified the correct installation directory."
fi

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式の修正プログラムの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式の修正プログラムがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  Previous Next  

関連記事