Atlassian Jira における認証バイパスの脆弱性 CVE-2022-0540 が FIX

Atlassian fixes critical Jira authentication bypass vulnerability

2022/04/21 BleepingComputer — Atlassian が公開したアドバイザリによると、Jira および Jira Service Management に影響をおよぼす、同社の Web アプリケーション・セキュリティ・フレームワーク Seraph における、深刻な認証バイパスの脆弱性が FIX したとのことだ。Jira と Confluence で用いられる Seraph は、プラグイン可能なコア・エレメントのシステムを介して、すべてのログイン/ログアウト要求を処理するものだ。

この脆弱性 CVE-2022-0540 だが、深刻度は 9.9 とされている。この欠陥により、リモートの攻撃者は、脆弱なエンドポイントに特別に細工した HTTP リクエストを送信することで、認証を回避できるという。影響を受ける製品は、Jira Core Server/Software Data Center/Software Server/Service Management Server/Management Data Center である。具体的には、以下のバージョンに影響が生じる。

  • Jira Core Server, Software Server, and Software Data Center before 8.13.18, the 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x before 8.20.6, and 8.21.x.
  • Jira Service Management Server and Management Data Center before 4.13.18, the 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x before 4.20.6, 4.21.x.

なお、この脆弱性は、Jira/Jira Service Management のクラウド版には影響を与えない。Atlassian によると、Seraph で特定のコンフィグレーションが用いられている場合にのみ、リモート攻撃者による侵害できると明記しており、その詳細は以下のとおりである。

「この脆弱性は Jira のコア部分に存在するが、webwork1 アクションの名前空間レベルで roles required と指定され、action レベルで指定されない、ファーストパーティ/サードパーティのアプリに影響が生じる」

脆弱性のあるアプリ

脆弱性 CVE-2022-0540 が悪用された場合の深刻度だが、使用されるアプリと Seraph コンフィグレーションに加えて、追加の権限チェック使用の有無によっても異なってくる。この欠陥の影響を受けるバンドル・アプリは、Jira 用の Insight – Asset Management と Mobile Plugin の2つとなる。影響を受けるアプリの詳細リストについては、Atlassian アドバイザリを確認してほしい。

Atlassian Marketplace 以外で調達したアプリや、顧客が開発したアプリなどのサードパーティ・アプリも、脆弱なコンフィグレーション依存している場合には影響を受ける。ただし、影響を受けるアプリが Jira で使用されていない場合には、脆弱性の深刻度は中程度に下がる。

修正と回避策

Jira Core Server/Software Server/Software Data Center の 8.13.x >= 8.13.18/8.20.x >= 8.20.6/8.22.0 以降の全バージョンが、このセキュリティ更新を含んでいる。Jira Service Management に関しては、修正されたバージョンは 4.13.x >= 4.13.18/4.20.x >= 4.20.6/4.22.0 以降となる。

上記のバージョンへのアップデートが、ユーザーに対して強く推奨されている。現時点ではアップデートが不可能な場合には、アプリ側をアップデートしてリスクに対応するか、パッチが適用できるまで脆弱なアプリを無効にすることを、Atlassian は推奨している。Jira Service Management 4.19.x/4.20.x を使用する場合の対応となる。

Atlassian に関連する最近の記事としては、2022年4月11日の「Atlassian のシステム・ダウン:復旧までに更に2週間が必要な顧客もいる」があります。また、2022年3月の「Lapsus$ の犯行声明:IT 企業 Globant のデータ 70GB を流出させた」によると、流出したデータの中には、Atlassian Suite に関連付けられた管理者パスワードなどが含まれていたようです。よろしければ、Atlassian で検索も、ご利用ください。

%d bloggers like this: