Atlassian は、一元化された ID 管理プラットフォームである Crowd Server と Data Center、Git リポジトリ管理のための同社のソリューションである Bitbucket Server と Data Center で重大な重大度に対応する更新をリリースしました。
どちらのセキュリティ脆弱性も 10 段階中 9 の重大度評価 (アトラシアンによる計算) がなされ、製品の複数のバージョンに影響を与えます。
Crowd での構成ミス
重大と評価されている Crowd サーバーおよびデータ センターの問題は CVE-2022-43782 として追跡されており、Crowd アプリとして認証する際に攻撃者がパスワード チェックをバイパスし、特権 API エンドポイントを呼び出すことを可能にする構成ミスです。
この問題は製品のバージョン 3.0 で導入され、2.9.1 などの以前のバージョンからのアップグレードには影響しません。
Atlassian は、特定の条件下で悪用が可能であると説明しています。それらの 1 つは、許可された IP アドレスを含むように変更されたリモート アドレス構成であり、デフォルト設定 (なし) からの逸脱です。
「これにより、攻撃者は、ユーザー管理パスの下にある Crowd の REST API で特権エンドポイントを呼び出すことができます」と Atlassian はセキュリティ アドバイザリで述べています。
この問題は、Crowd バージョン 3.0.0 から 3.7.2、4.0.0 から 4.4.3、および 5.0.0 から 5.0.2 に影響します。 Crowd 5.0.3 および 4.4.4 は影響を受けません。
アトラシアンは、バージョン 3.0.0 の製品がサポート終了に達したため、この脆弱性を修正しません。
セキュリティ アドバイザリには、管理者がインスタンスが侵害されているかどうかを確認するための詳細な手順と、そのような場合に従う手順が記載されています。
Bitbucket の欠陥の詳細
Bitbucket Server および Data Center に影響を与える欠陥は、製品のバージョン 7.0 で導入され、CVE-2022-43781 として識別されます。これはコマンド インジェクションの脆弱性であり、ユーザー名を制御する権限を持つ攻撃者が、特定の条件下でターゲット システム上でコードを実行できるようになります。
7.0 から 7.21 までのすべてのバージョンが、構成に関係なく影響を受けます。また、”bitbucket.properties” の下で “mesh.enabled” 機能が無効になっているバージョン 8.0 から 8.4 も影響を受けます。
CVE-2022-43781 は、PostgreSQL を実行しているインスタンス、および Atlassian によってホストされているインスタンス (bitbucket.org ドメイン経由でアクセス) には影響しません。
問題を修正するバージョンは次のとおりです。
- 7.6.19 以降
- 7.17.12 以降
- 7.21.6 以降
- 8.0.5 以降
- 8.1.5 以降
- 8.2.4 以降
- 8.3.3 以降
- 8.4.2 以降
- 8.5.0 以降
修正済みバージョンにアップグレードできないユーザーは、「パブリック サインアップ」を無効にする必要があります。これにより、攻撃者は有効な資格情報を使用して認証する必要があり、悪用のリスクが軽減されます。
セキュリティ アドバイザリでは、ADMIN および SYS_ADMIN ユーザーはこの構成でも引き続きこの脆弱性を悪用できるため、一時的な緩和策として扱う必要があると述べています。
Comments