Atlassian fixes critical bug giving access to Jira Service Management (edited)

Atlassian の Jira Service Management Server および Data Center の重大な脆弱性により、認証されていない攻撃者が他のユーザーになりすましてシステムへのリモート アクセスを取得する可能性があります。

Atlassian は、セキュリティの問題はバージョン 5.3.0 から 5.5.0 に影響し、ハッカーは「特定の状況下で Jira Service Management インスタンスへのアクセス」を取得できると説明しています。

「ユーザー ディレクトリへの書き込みアクセス権と、Jira Service Management インスタンスで送信メールが有効になっていると、ログインしたことのないアカウントを持つユーザーに送信されたサインアップ トークンに攻撃者がアクセスする可能性があります」 – Atlassian

CVE-2023-22501として追跡されている脆弱性は、Atlassian の計算による重大度スコア 9.4 です。特に、他のユーザーと頻繁にやり取りするボット アカウントをターゲットにするために使用される可能性があり、ボット アカウントが Jira の問題やリクエストに含まれる可能性が高くなったり、「リクエストの表示」リンクを含むメールを受信したりする可能性が高くなります。サインアップ トークンを取得するには、いずれかの条件が必要です。 .

アトラシアンは、この問題に対処するアップデートをリリースし、管理者にバージョン 5.3.3、5.4.2、5.5.1 および5.6.0以降にアップグレードするようアドバイスしています。

アップデートをすぐにインストールできない場合、ベンダーは、以下の手順で説明するように、「servicedesk-variable-substitution-plugin」を手動でアップグレードするために使用できる JAR ファイルの形式で回避策を提供しています。

  1. アドバイザリからバージョン固有の JAR をダウンロードする
  2. ジラを止める
  3. JAR ファイルを Jira ホーム ディレクトリ (サーバーの場合は “<Jira_Home>/plugins/installed-plugins”、データ センターの場合は “<Jira_Shared/plugins/installed-plugins”>) にコピーします。
  4. サービスを再起動します

Atlassian は、インスタンスがパブリック インターネットに公開されていない場合や、シングル サインオン (SSO) が有効になっている外部ユーザー ディレクトリがある場合でも、アップグレードが推奨されることを説明するFAQ ページを公開しています。

警告として、攻撃者がパスワードを変更しても、アカウント所有者への電子メール通知が生成されないため、侵害の検出がより困難になります。

ただし、利用可能なセキュリティ更新プログラムまたは JAR ファイルの回避策を適用した後、管理者は、以前のバージョンのインストール後にパスワードを変更してログインしたアカウントを確認できます。これにより、アカウントへの不正アクセスが明らかになる可能性があります。

アトラシアンでは、管理者が侵害された可能性のあるすべてのユーザーにパスワードのリセットを強制し、電子メール アドレスが正しいことを確認することをお勧めします。

侵害が検出された場合は、侵害されたサーバーを直ちにシャットダウンしてネットワークから切断し、攻撃の範囲を最小限に抑えることをお勧めします。