CVE-2019-11581：Atlassian Jira Server および Data Center における重大なテンプレートインジェクションの脆弱性

約8年前にJira ServerおよびData Centerで発生した脆弱性により、リモートからコードが実行される可能性があります。

背景

7月10日、アトラシアンはJira ServerとJira Data Centerの重大な脆弱性を解決するためにセキュリティアドバイザリ2019-07-10を公開しました。Jira ServerはアトラシアンのJiraチケットシステムを管理および制御し、Jira Data Centerは管理者がJiraサーバーのビジネス全体の管理とスケーラビリティを管理します。

分析

CVE-2019-11581は、Jira ServerおよびData Centerにおける「さまざまなリソース」におけるサーバーサイドのテンプレートインジェクションの脆弱性で、アドバイザリによると、この脆弱性は2011年8月にリリースされたバージョン4.4.0で発生した約8年前のものです。

テンプレートインジェクションの脆弱性は、JJira ServerおよびData CenterのContactAdministratorsとSendBulkMailに存在します。ただし、この脆弱性を悪用するには、SMTPサーバーを設定し、Contact Administrators Formを有効にする（認証されていないユーザーによる攻撃）か、「IRA管理者」アクセス（認証されたユーザーによる攻撃）を行う必要があります。攻撃者はこの脆弱性を突き、Jiraシステムでリモートからコードを実行する可能性があります。

概念実証

この脆弱性が公開された時点では、概念実証（PoC）は公開されていません。しかし、2019年3月のConfluence Widget Connectorの脆弱性に対するアトラシアンのアドバイザリ（CVE-2019-3395、CVE-2019-3396）と同様に、概念実証は近日中に公開されることが予想されます。

ソリューション

分析のセクションで述べたように、CVE-2019-11581はJira Server and Data Centerバージョン4.4.0で発生しました。この脆弱性に対処するパッチバージョンは、8.0.3、8.1.2、8.2.3、および、Enterprise releases 7.6.14、7.13.5です。以下の表は、脆弱性のあるバージョンと関連する修正済みバージョンを示しています。

また、4.2.3以前のJira Service Deskバージョン3.0.0をインストールしているお客様も、この脆弱性の影響を受ける可能性があるとアトラシアンは述べています。アトラシアンは、Jira Service Deskバージョンが影響を受けるかどうかを判断するのを支援するために互換性マトリックスを提供しています。

また、アトラシアンは、Jira Cloudのお客様は、この脆弱性の影響を受けていないことを指摘しています。

現時点でパッチが適用されたJira ServerまたはData Centerバージョンにアップグレードできない場合は、アトラシアンは次の一時的な回避策を推薦しています。

• まず、Contact Administrators Formを無効にする
• 次に/secure/admin/SendBulkMail!default.jspaエンドポイントへのアクセスをブロックする

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点で こちら に表示されます。

さらに、アトラシアンは、攻撃者がCVE-2019-11851を突いてJiraインスタンスを危険にさらしたかどうかを識別するのに役立つサポート文書を提供しています。

詳細情報

• JIRAセキュリティアドバイザリ2019-07-10

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

Tenable.io60日間無料トライルを入手する。