United States Computer Emergency Readiness Team (US-CERT)は7月11日(米国時間)、「Atlassian Releases Security Updates for Jira|CISA」において、AtlassianのJira ServerおよびJira Data Centerに脆弱性が存在すると伝えた。
この脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。Jira Software、Jira Core、Jira Service Deskもこの脆弱性を抱えているほか、対象となっているバージョンが多岐にわたっているため注意が必要。
脆弱性に関する情報は次のページにまとまっている。
- JIRA Security Advisory 2019-07-10|Jira Server - Template injection in various resources - CVE-2019-11581
- Atlassian Confluence Security Advisory - Canadian Centre for Cyber Security (Number: AV19-143)
影響を受けるとされるバージョンは次のとおり。
- 4.4.x
- 5.x.x
- 6.x.x
- 7.0.x
- 7.1.x
- 7.2.x
- 7.3.x
- 7.4.x
- 7.5.x
- 7.6.14よりも前の7.6.x
- 7.7.x
- 7.8.x
- 7.9.x
- 7.10.x
- 7.11.x
- 7.12.x
- 7.13.5よりも前の7.13.x
- 8.0.3よりも前の8.0.x
- 8.1.2よりも前の8.1.x
- 8.2.3よりも前の8.2.x
Atlassianからは脆弱性を修正したアップデートが提供されているので、上記のセキュリティアドバイザリーをチェックしてアップデートを実施することが推奨される。