Atlassian Jira Service Management Data Center and Server 5.7 < 5.12.19 / 5.13.x < 10.3.4 / 10.4.x < 10.5.0 (JSDSERVER-16086)

high Nessus プラグイン ID 233657

概要

リモートの Atlassian Jira Service Management Data Center and Server (Jira Service Desk) ホストにセキュリティ更新がありません。

説明

リモートホストで実行されている Atlassian Jira Service Management Data Center and Server (Jira Service Desk) のバージョンは、JSDSERVER-16086 のアドバイザリに記載されている脆弱性の影響を受けます。

- XStreamは、オブジェクトをXMLにシリアル化したり戻したりするためのシンプルなライブラリです。この脆弱性により、XStream が BinaryStreamDriver を使用するように設定されている場合に、リモート攻撃者がスタックオーバーフローエラーでアプリケーションを終了させ、処理された入力ストリームの操作のみによってサービス拒否を引き起こす可能性があります。
XStream 1.4.21 は、スタックオーバーフローを引き起こすバイナリ入力ストリーム内の操作を検出するためにパッチされており、代わりに InputManipulationException を発生させます。ユーザーにアップグレードすることを推奨します。アップグレードできないユーザーは、XStream が BinaryStreamDriver を使用するように設定されている場合、XStream を呼び出すクライアントコードで StackOverflowError をキャッチする可能性があります。(CVE-2024-47072)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Atlassian Jira Service Management Data Center and Server バージョン 5.12.19、10.3.4、10.5.0 以降にアップグレードしてください。

参考資料

https://jira.atlassian.com/browse/JSDSERVER-16086

プラグインの詳細

深刻度: High

ID: 233657

ファイル名: jira_service_desk_JSDSERVER-16086.nasl

バージョン: 1.3

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/4/1

更新日: 2025/5/23

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2024-47072

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:atlassian:jira_service_desk

必要な KB アイテム: installed_sw/JIRA Service Desk Application

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/3/12

脆弱性公開日: 2024/11/7

参照情報

CVE: CVE-2024-47072