Atlassian Jira の深刻な脆弱性にパッチが提供される

Atlassian asks customers to patch critical Jira vulnerability

2021/07/22 BleepingComputer — Atlassian は、同社の Jira Data Center および Jira Service Management Data Center の大半のバージョンに存在する、深刻な脆弱性にパッチを適用するよう、エンタープライズ顧客に呼びかけている。その脆弱性 CVE-2020-36239 は、オープンソース・コンポーネントである Ehcache の Jira への実装において認証欠落の原因となる、リモートの攻撃者に任意のコード実行を許す可能性がある。

認証の不備による重大なリモートコード実行

昨日に Atlassian は、Jira Data Center 製品に重大な脆弱性があると公表した。脆弱性 CVE-2020-36239 は、Jira Data Center 製品の一部において、遠隔地の認証されていない攻撃者が、任意のコードを実行することを許してしまう。今週に Bleeping Computer が確認したメールでは、Atlassian はバグの修正手段として、早急にインスタンスをアップグレードするよう、エンタープライズ顧客に呼びかけている。この脆弱性は、認証チェックの欠落、つまり Ehcache の RMI ポートへの無制限のアクセスに起因している。

Ehcache は、パフォーマンスとスケーラビリティを向上させるために、Java アプリケーションで広く使用されているオープンソースのキャッシュである。RMI (remote method invocation) は、OOP 言語の RPC (remote procedure calls) に似た Java の概念である。RMI は、共有ネットワーク上で動作するアプリケーションなどのリモート・オブジェクトに存在するメソッドを、プログラマがローカルのメソッドやプロシージャを実行するように、アプリケーションから呼び出すことができる。それにより、プログラマーは基本的なネットワーク機能の実装を気にする必要がなくなり、RMI API の活用が可能になる。

このコンテキストでは、以下の複数の Jira 製品が、Ehcache RMI ネットワーク・サービスを、Port 40001 および 40011 で公開することになる。リモートの攻撃者は、認証を必要とせずにこれらのポートに接続し、オブジェクトのデシリアライズを介して、Jira 内で任意のコードを実行することが可能となる。この脆弱性は、Harrison Neal により発見され、その責任による報告された。

影響を受ける製品は以下の通りだ。
1 Jira Data Center
2 Jira Core Data Center
3 Jira Software Data Center, and
4 Jira Service Management Data Center

影響を受けるバージョンと対処方法

幸いなことに、この問題は Jira Server (Core & Software)、Jira Service Management、Jira Cloud、Jira Service Management Cloud の、Data Center 以外のインスタンスには影響しない。Jira Data Center 製品のユーザーは、どのバージョンを使用しているかに応じて、この脆弱性を潰すために、以下のバージョンにアップグレードする必要がある。

1 Jira Data Center、Jira Core Data Center、Jira Software Data Center のユーザー:8.5.16 / 8.13.8 / 8.17.0 にアップグレード。
2 Jira Service Management Data Center のユーザー:4.5.16 / 4.13.8 / 4.17.0 にアップグレード。

インスタンスをアップグレードできない場合には、Atlassian のセキュリティ・アドバイザリで回避策が提供される。Atlassian では、製品を最新版にアップグレードするとともに、Ehcache RMI Port へのアクセス制限を推奨している。Ehcache RMI Post 40001 / 40011 は、Jira Data Center、Jira Core Data Center、Jira Software Data Center、Jira Service Management Data Center のクラスタ・インスタンスのみがアクセスできるように、ファイアウォールまたは同様の技術を使用してシールドする必要がある。Atlassian は、「Ehcache Port へのアクセスを Data Center インスタンスのみに制限することを強く推奨しているが、Jira の固定バージョンでは、Ehcache サービスへのアクセスを許可するために、共有シークレットが必要になる」セキュリティ・アドバイザリで述べている。

Wikipedia によると、「Atlassian Jira は、企業向けプロプライエタリ・ソフトウェアであり、主にバグトラッキングや、課題管理、プロジェクト管理に用いられる。JIRAはパブリックオープンソースプロジェクトで広く使用されており、また122カ国25,000以上の顧客により使用されている」と紹介されています。また、Jira Data Center というのは、クラウド上のマネージド・サービスであり、Jira Server から Jira Data Center への移行が推進されているようです。そして、今回の問題は、Ehcache という OSS のキャッシュに原因があるとのことです。以前に「アプリケーションに含まれる Third-Party ライブラリの 79% が更新されていない?」という記事をポストしましたが、アップデートされてよかったです。

%d bloggers like this: