CVE-2022-1471 の FAQ

一般情報

複数のアトラシアン製品で使用されている Java 用 SnakeYAML ライブラリに、クリティカルな重大度のリモート コード実行 (RCE) 脆弱性が発見されました (CVE-2022-1471)。

このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアン セキュリティ チームがこのページを継続的に更新します。

クラウド インスタンスは影響を受けますか?

Atlassian Cloud サイトはこの脆弱性の影響を受けません。ご利用のサイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。

私のインスタンスはインターネットに公開されていません。引き続きアップグレードが推奨されますか?

はい。インスタンスをインターネットに公開しないことは攻撃対象を大きく狭めますが、セキュリティ修正が利用可能であるときはアップグレードすることを常に推奨しています。当社では、お客様が範囲と影響を判断できるよう、可能な限り多くの情報を提供することを心がけています。インスタンスへの外部アクセスの有無などの脆弱性を軽減する要素が、アップグレードのインストールを見送れるほどビジネスへのリスクを軽減しているかどうかの判断は、最終的にはお客様がこれらの情報に基づいて行う必要があります。

アトラシアンではこのようなメールの送信先をどのように判断しているのでしょうか?

デフォルトでは、セキュリティ脆弱性や他の技術的なアラート (価格変更、メンテナンス通知など) に関連するメールは常にプライマリ技術担当者に送られます。

その他の担当者は、my.atlassian.com にアクセスすることで、これらの通知を有効にできます。上部にある [メール設定] をクリックして、[テクニカル アラート] までスクロールし、通知を受け取りたい製品を選択します。

この脆弱性のことを知りませんでした。アトラシアンはいつどのようにこの情報を共有したのでしょうか

アトラシアンによる修正のリリース後、製品のテクニカル アラート リストにサブスクライブしているすべてのお客様に対して、アラートが送信されます。このリストへの登録状況は https://my.atlassian.com/email で確認できます。

最近セキュリティ勧告が多いのはなぜですか?

お客様のセキュリティは私たちの最優先事項です。データを保護するには、積極的に行動することが最善の方法だと考えています。これらの脆弱性は、継続的なセキュリティ評価に加えて、現在実施しているセキュリティ レビューの一環で見つかりました (詳細 - https://www.atlassian.com/trust/security/security-testing)。

今後の更新については、引き続きクリティカルなセキュリティ勧告に従ってください。ご質問がある場合は、このメールに返信するか、support.atlassian.com からサポート リクエストを送ってください。

社内にセキュリティ チームがない場合はどうしたら良いですか?

専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。

Confluence

Confluence インスタンスは、主に 2 つの要因によってこの脆弱性影響を受ける可能性があります。

1. インスタンスが影響を受けるバージョンで実行されている場合、または

2. インスタンスに、影響を受けるバージョン (Confluence にバンドルされている) の Confluence Cloud Migration Assistant (CCMA) アプリがある場合。

ℹ️ CCMA アプリの初期バージョンには、脆弱な SnakeYAML ライブラリが含まれています。

⚠️ ご利用の Confluence インスタンスが影響の無いバージョンを実行していても、影響を受ける初期バージョンの CCMA アプリを実行している場合、インスタンスは依然として脆弱であることに注意してください。

Confluence のどのバージョンが影響があり、どのバージョンが修正されていますか?

影響を受ける Confluence バージョン

Confluence Server と Data Center

LTS (長期サポート) バージョン:

• 7.19.9 以前

• 7.13.17 以前

LTS 以外のバージョン:

• 8.3.0

• 8.2.X (すべてのマイナー バージョン)

• 8.1.X (すべてのマイナー バージョン)

• 8.0.X (すべてのマイナー バージョン)

• 7.20.X (すべてのマイナー バージョン)

• 7.18.X (すべてのマイナー バージョン)

• この製品のこれ以前のバージョン

修正済みの Confluence バージョン

LTS (長期サポート) バージョン:

• 8.5.0 以降

• 7.19.10 以降

• 7.13.18 以降 (サポート終了の LTS バージョン)

LTS 以外のバージョン:

• 8.7.0 以降

• 8.6.0 以降

• 8.4.0 以降

• 8.3.1 以降

影響を受ける Confluence Cloud Migration Assistant (CCMA) アプリのバージョン

• プラグインのバージョン3.4.0 未満

修正済みの Confluence Cloud Migration Assistant (CCMA) アプリ バージョン

• プラグイン バージョン 3.4.0 以降。

影響を受ける構成の例

• Confluence 8.0.3 (影響あり) CCMA バージョン 3.4.5 (影響なし) = 影響あり

• Confluence 7.19.12 (影響なし) CCMA バージョン 3.3.13 (影響あり) = 影響あり

• Confluence 7.17.5 (影響あり) CCMA バージョン 3.4.0 (影響なし) = 影響あり

• Confluence 7.16.5 (影響あり) CCMA バージョン 3.3.11 (影響あり) = 影響あり

どうずればこの脆弱性を Confluence で軽減できますか?

このセキュリティ脆弱性は、修正を含むバージョンの Confluence および CCMA アプリにインスタンスにパッチを当てる以外の方法で軽減することはできません。

詳細な手順は、「Confluence のアップグレード」(または「Confluence 手動アップグレード」) を参照してください。参考までに、Confluence の修正バージョンには、この CVE に対応している CCMA アプリの修正バージョンがすでにバンドルされています。

Atlassian Cloud 移行チームから、アクティブ/進行中の移行において旧バージョンの CCMA アプリを使用するようアドバイスを受けた場合にはお知らせください。それに応じてサポートさせていただきます。

アップグレード中またはアップグレード後に問題が発生した場合は、サポート チケットを起票してください。迅速に問題を解決するお手伝いをします。

Jira / Jira Software / Jira Service Management / Automation for Jira アプリ

どのバージョンの Jira が影響を受けますか?

この脆弱性は、Jira Core / Jira Software 9+ および Jira Service Management 5+ にもバンドルされている Automation for Jira アプリ (Server Lite エディションを含む) のすべてのバージョンで使用されるライブラリに存在します。

影響を受けるバージョンの最新のリストについては、セキュリティ勧告を参照してください。

影響を受けるバージョン:

Jira Core / Jira Software

LTS (長期サポート) バージョン:

• 9.4.0 <= 9.4.12

LTS 以外のバージョン:

• 9.0.X

• 9.1.X

• 9.2.X

• 9.3.X

• 9.5.x

• 9.6.x

• 9.7.x

• 9.8.x

• 9.9.x

• 9.10.x

• 9.11.0

• 9.11.1

Jira Service Mangement

LTS (長期サポート) バージョン:

• 5.4.0 <= 5.4.12

LTS 以外のバージョン:

• 5.0.X

• 5.1.X

• 5.2.X

• 5.3.X

• 5.5.x

• 5.6.x

• 5.7.x

• 5.8.x

• 5.9.x

• 5.10.x

• 5.11.0

• 5.11.1

Automation for Jira アプリ (Jira < 9.0 または Jira Service Management < 5.0 にインストールされている場合)

• <= 8.2.2

• 9.0.0

• 9.0.1

アトラシアンは、以下のバージョンの Jira に更新するか、Universal Plugin Manager (UPM) を使用して Automation for Jira アプリだけをアップグレードすることを強くお勧めします。

⚠️ 詳細は「A4J 9.0+ の重大な変更」をご参照ください。このバージョンは Jira 9.11+ と JSM 5.11+ にもバンドルされていました。

Jira のアップグレード

LTS (長期サポート) バージョン:

• Jira Core/Software 9.4.14/JSM5.4.14 以降

• Jira Core/Software 9.12.0/JSM5.12.0 以降

LTS (長期サポート) 以外のバージョン:

• Jira Core/Software 9.11.2/JSM 5.11.2 以降

または

Automation for Jira のアップグレード

• 8.2.4

• 9.0.2 以降

Automation for Jira (A4J) アプリのどのバージョンが影響を受けますか？ また、どのバージョンに修正が含まれていますか？

Automation for Jira (A4J) (Server Lite エディションを含む) における次のバージョンが影響を受けます。

• 8.2.2 以前のすべてのバージョン

• 9.0.0

• 9.0.1

Automation for Jira (A4J) における次のバージョンで、この脆弱性の修正が含まれます。

• 8.2.4

• 9.0.2 以降

⚠️ A4J を 8.x から 9.0.x にアップグレードする場合は、A4J 9.0+ の重大な変更を十分にご確認ください。既存のルールに影響する可能性があります。本番環境でアップデートする前に、テスト環境でこれらの変更の確認を行うことをお勧めします。

Jira / JSW / JSM インスタンスをアップグレードする代わりに、この脆弱性を緩和する方法はありますか?

セキュリティ勧告に記載されている通り、製品インスタンスを修正済みバージョンにアップグレードできない場合は、Universal Plugin Manager (UPM) を介して、Automation for Jira (A4J) アプリを修正済みバージョンにアップグレードすることで、この脆弱性を軽減できます。

この修正は、以下の Automation for Jira (A4J) のバージョンに含まれています。

• 8.2.4

• 9.0.2 以降

⚠️ A4J を 8.x から 9.0.x にアップグレードする場合は、A4J 9.0+ のクリティカルな変更を十分にご確認ください。既存のルールに影響する可能性があります。本番環境でアプリをアップデートする前に、テスト環境でこれらの変更の確認を行うことをお勧めします。

Jira をアップグレードせずに Automation for Jira を更新する場合に関連する影響はありますか?

いいえ、Jira をアップグレードせずに Automation for Jira (A4J) をアップグレードすることは、この脆弱性に対する有効な緩和戦略です。ただし、A4J バージョン 9.0+ には、設定されたルールの URL に関連するメジャーな変更が含まれています。そのため、既存のルールに影響を与える可能性のある主要な変更をご確認ください。本番環境でアプリをアップデートする前に、テスト環境でこれらの変更の確認を行うことをお勧めします。

これらの変更は、このバージョンの A4J のバンドルが始まった Jira バージョンのリリース ノートに記載されています。

• Jira 9.11 / Jira Service Management 5.11

SnakeYAML ライブラリのみを更新して、同じバージョンの Jira を使い続けることはできますか?

残念ながら、同じ Jira インスタンス上の SnakeYAML ライブラリをアップグレードするだけでは、脆弱性を軽減することはできません。

アトラシアンは、以下のバージョンの Jira に更新するか、Universal Plugin Manager (UPM) を使用して Automation for Jira アプリだけをアップグレードすることを強くお勧めします。

⚠️ 詳細は「A4J 9.0+ の重大な変更」をご参照ください。このバージョンは Jira 9.11+ と JSM 5.11+ にもバンドルされていました。

Jira のアップグレード

LTS (長期サポート) 以外のバージョン:

• Jira Core/Software 9.11.2/JSM 5.11.2 以降

LTS (長期サポート) バージョン:

• Jira Core/Software 9.12.0/JSM5.12.0 以降

• Jira Core/Software 9.4.14/JSM5.4.14 以降

または

Automation for Jira のアップグレード

• 8.2.4

• 9.0.2 以降

サポートされている 8.20 LTS バージョンの Jira を使用しています。影響を受けますか?

8.20.X LTS バージョンの Jira は影響を受けません。A4J がバージョン 9+ まではバンドルされていなかったためです。ただし、A4J を個別にインストールした場合は、脆弱なバージョンを使用している可能性があります。

次の Automation for Jira (A4J) のバージョンが影響を受けます。

• 8.2.2 以前のすべてのバージョン

• 9.0.0

• 9.0.1

これらのバージョンのいずれかがインストールされている場合、アトラシアンは、Universal Plugin Manager (UPM) を介して以下のバージョンの Automation for Jira (A4J) のいずれかにアップグレードすることを強くお勧めします。これらにはこの脆弱性に対する修正が含まれています。

• 8.2.4

• 9.0.2 以降

⚠️ A4J を 8.x から 9.0.x にアップグレードする場合は、A4J 9.0+ の重大な変更点を十分にご確認ください。既存のルールに影響する可能性があります。本番環境でアプリをアップデートする前に、テスト環境でこれらの変更の確認を行うことをお勧めします。

Jira には CVE-2022-1471 に対する脆弱性がありますか? JSM には CVE-2022-1471 に対する脆弱性がありますか?

この脆弱性は、Jira Core / Jira Software 9+ と Jira Service Management 5+ にもバンドルされている Automation for Jira アプリ (Server Lite エディションを含む) のすべてのバージョンで使用されるライブラリに存在します。

アトラシアンは、以下のバージョンの Jira に更新するか、Universal Plugin Manager (UPM) を使用して Automation for Jira アプリをアップグレードすることを強くお勧めします。

詳細は「A4J 9.0+ の重大な変更」をご参照ください。このバージョンは Jira 9.11+ と JSM 5.11+ にもバンドルされていました。

Jira のアップグレード

LTS (長期サポート) 以外のバージョン:

• Jira Core/Software 9.11.2/JSM 5.11.2 以降

LTS (長期サポート) バージョン:

• Jira Core/Software 9.12.0/JSM5.12.0 以降

• Jira Core/Software 9.4.14/JSM5.4.14 以降

または

Automation for Jira のアップグレード

• 9.0.2 以降

• 8.2.4

Jira Server 9.x を実行していますが、Automation for Jira や Automation for Jira - Server Lite は使用していません。脆弱性の影響を受けますか?

Automation for Jira (A4J) アプリのライセンスを取得していない場合、または Automation for Jira - Server Lite を持っている場合でも、インストールされ、影響を受けるバージョンの Jira を使用している場合、Jira サーバーはまだ脆弱である可能性があります。アプリのライセンス ステータスによって脆弱性が変わることはありません。重要なのはアプリの有無とアプリのバージョンです。

このリスクを軽減するには、以下を実施してください。

1. Jira Server インスタンスを、次のような修正済みバージョンのいずれかにアップグレードします。

LTS (長期サポート) 以外のバージョン:

• 9.11.2 以降

LTS (長期サポート) バージョン:

• 9.12.0 以降

• 9.4.14 以降

2. または、Universal Plugin Manager (UPM) を使用して Automation for Jira アプリを修正済みバージョンにアップグレードします。

• 9.0.2 以降

• 8.2.4

Jira Service Management のみをインストールしていて、Jira Software はインストールしていません。この CVE の影響を受けますか？

はい、ご利用の Jira Service Management のインストールは、この脆弱性の影響を受ける可能性があります。影響を受ける Jira Service Management Data Center と Server は、バージョン 5.4.0 から 5.11.1 までです。

お使いの Jira Service Management のバージョンがこの範囲内にある場合は、次の対応を実施することをお勧めします。

1. 次の修正済みバージョンのいずれかにパッチを当てます。

LTS (長期サポート) 以外のバージョン:

• Jira Core 9.11.2/JSM 5.11.2 以降

LTS (長期サポート) バージョン:

• Jira Core 9.12.0/JSM 5.12 以降

• Jira Core 9.4.14/JSM 5.4.14 以降

2. または、Universal Plugin Manager (UPM) を使用して Automation for Jira アプリを修正済みバージョンにアップグレードします。

• 9.0.2 以降

• 8.2.4

Automation for Jira アプリ (A4J) を無効にすることで脆弱性を軽減できますか?

いいえ、アプリを無効にしても脆弱性は軽減されません。アプリを無効にしても、この脆弱性は Server Lite エディションを含む、システム内に存在する A4J 内に存在します。

アトラシアンは、この脆弱性リスクを軽減するために、次のいずれかの対策を推奨しています。

• Jira インスタンスを、修正されたバージョンのいずれかにアップグレードする

  • LTS (長期サポート) 以外のバージョン:

    • 9.11.2 以降

  • LTS (長期サポート) バージョン:

    • 9.12.0 以降

    • 9.4.14 以降

• Universal Plugin Manager (UPM) を使用して自動化 for Jira アプリを修正版にアップグレードします。

  • 9.0.2 以降

  • 8.2.4

サポートされていないバージョンを使用しており、アップグレードする予定はありません。どうすればいいですか？

直面している脆弱性に対処する最も効果的な方法は、Jira インスタンスをサポートされているバージョンにアップグレードすることです。これにより、必要な A4J アップデートをインストールできるほか、今後、安全なシステムを維持するために欠かせないセキュリティ パッチやアップデートを確実に受け取れます。

緩和策として、Jira のアップグレードをただちに実行できない場合は、 5 月 ネットワーク レベルでの追加のセキュリティ対策の実施をご検討ください。これには、Jira インスタンスへのアクセスを信頼できるネットワークとユーザーに制限することが含まれており、悪用のリスクを軽減するのに役立ちます。

ただし、これらの措置は一時的なものであり、完全な解決策ではないことに注意してください。脆弱性を完全に軽減するには、サポートされているバージョンの Jira にアップグレードする必要があります。

Automation for Jira (A4J) アプリをアンインストールすれば脆弱性を軽減できますか?

この脆弱性は、Server Lite エディションを含む A4J アプリに含まれます。アプリをアンインストールすると、脆弱なライブラリが消去される可能性があります。ただし、A4J はコア プラグインであるため、削除するとシステムが中断する可能性があります。そのため、解決策としてアンインストールすることはお勧めしません。

また、プラグイン アーティファクトからファイルを削除すると、システム設定がサポートされなくなる可能性があります。 このアクションによって問題が発生した場合は、弊社がサポートできるように、以前の運用状態に戻す必要があります。

代わりに、アトラシアンは次の解決策を強く提案しています。

• Jira インスタンスを、修正されたバージョンのいずれかにアップグレードする

  • 非LTS 以降に回帰がないことを確認 (長期サポート) バージョン:

    • 9.11.2 以降

  • LTS (長期サポート) バージョン:

    • 9.12.0 以降

    • 9.4.14 以降

• Universal Plugin Manager (UPM) 経由で A4J アプリを次の修正済みバージョンにアップグレードします。

  • 9.0.2 以降

  • 8.2.4

Bamboo

Bamboo は、SnakeYAML ライブラリに影響する CVE-2022-1471 に対して脆弱ではありません。Bamboo の SnakeYAML 実装では、Bamboo Specs のクラスのみが許可されます。

セキュリティ スキャナーの要件を満たすために、Bamboo には SnakeYAML ライブラリの修正済みバージョンがあります。これらは次に含まれています。

• 9.2.8 以降

• 9.3.5 以降

• 9.4.1 以降

アップグレードの詳細は、以下の Bamboo アップグレード ガイドを参照してください。

• https://ja.confluence.atlassian.com/bamboo/bamboo-upgrade-guide-720411366.html

Bitbucket

どのバージョンの Bitbucket が影響を受けますか？

• 7.17.x の全バージョン

• 7.18.x の全バージョン

• 7.19.x の全バージョン

• 7.20.x の全バージョン

• 7.21.x バージョン <= 7.21.15

• 8.0.x の全バージョン

• 8.1.x の全バージョン

• 8.2.x の全バージョン

• 8.3.x の全バージョン

• 8.4.x の全バージョン

• 8.5.x の全バージョン

• 8.6.x の全バージョン

• 8.7.x の全バージョン

• 8.8.x バージョン <= 8.8.6

• 8.9.x バージョン <= 8.9.3

• 8.10.x バージョン <= 8.10.3

• 8.11.x バージョン <= 8.11.2

• 8.12.0

どのバージョンの Bitbucket に修正ライブラリが含まれていますか？

• 7.21.16 以降 (LTS)

• 8.8.7 以降

• 8.9.4 以降 (LTS)

• 8.10.4 以降

• 8.11.3 以降

• 8.12.1 以降

• 8.13.0 以降

• 8.14.0 以降

• 8.15.0 以降

• 8.16.0 以降

Bitbucket Server および Bitbucket Data Center のどのバージョンが影響を受けますか？

SnakeYAML ライブラリ CVE-2022-1471 に関する CVE の詳細をお求めであると理解します。

アトラシアンのセキュリティ チームはこの脆弱性評価しておりますが、これまでのところ、Bitbucket にエクスプロイト パスがあるかどうかを判断できませんでした。エクスプロイトが可能かどうかは引き続き確認中です。Bitbucket でエクスプロイト パスが見つかった場合には、セキュリティ ブログを更新します。いずれにせよ、Bitbucket の SnakeYAML ライブラリを更新し、修正を含むサポート バージョンをリリースしました。

影響を受けるバージョン

• 7.17.0 から 7.17.21

• 7.18.0 から 7.18.4

• 7.19.0 から 7.19.5

• 7.20.0 から 7.20.3

• 7.21.0 から 7.21.15

• 8.0.0 から 8.0.5

• 8.1.0 から 8.1.5

• 8.2.0 から 8.2.4

• 8.3.0 から 8.3.4

• 8.4.0 から 8.4.4

• 8.5.0 から 8.5.4

• 8.6.0 から 8.6.4

• 8.7.0 から 8.7.5

• 8.8.0 から 8.8.6

• 8.9.0 から 8.9.3

• 8.10.0 と 8.10.3

• 8.11.0 から 8.11.2

• 8.12.0

パッチ適用済みバージョンの Bitbucket およびバンドルされている Elasticsearch/ Opensearch の現在の制限事項

次の Bitbucket バージョンには、パッチが適用された SnakeYAML ライブラリのバージョン 2.0 が含まれており、直接の影響を受けません。ただし、SnakeYAML ライブラリの影響を受けるバージョン (1.2.6、1.30 から 1.32) を含む Opensearch バージョンがバンドルされています。

• 7.21.12 から 7.21.15

• 8.7.4 から 8.7.5

• 8.8.6

• 8.9.1 から 8.9.3

• 8.10.0 から 8.10.3

• 8.11.0 から 8.11.2

• 8.12.0

Bitbucket 7.17.17 から 7.17.20 までの修正済みバージョンと、バンドルされた Elasticsearch に関する現在の制限事項

Bitbucket 7.17.17 から 7.17.20 は SnakeYAML 2.0 のパッチが適用されています。ただし、Bitbucket 7.17.x は影響を受けるライブラリを含む Elasticsearch バージョンをバンドルしています。Elasticsearch のライセンス方法 (有償モデル) が変更されたため、アトラシアンは Bitbucket 7.17.x の修正済みバージョンに Elasticsearch のパッチ適用済みバージョンを含められませんでした。

バンドルされている Elasticsearch を使用して Bitbucket 7.17.x を実行している場合、バージョン 7.21.16 以降にアップグレードすることを強くお勧めします (または任意の 8.X 修正済みバージョン)。これは、7.17.x がすでにアトラシアン サポート終了ポリシーに従ってサポート終了となっているためです。Bitbucket 7.21.16+ は、Opensearch (オープン ソース) をバンドルしており、両アプリとも SnakeYAML 2.0 ライブラリにパッチされています。

修正バージョン (Bitbucket および Opensearch 含む)

• 7.21.16 以降 - LTS (長期サポート)

• 8.8.7 以降

• 8.9.4 以降 - LTS

• 8.10.4 以降

• 8.11.3 以降

• 8.12.1 以降

• 8.13.0 以降

• 8.14.0 以降

• 8.15.0 以降

• 8.16.0 以降

必要なアクション

• CVE-2022-1471 の脆弱性による潜在的な影響に関する詳細をご確認ください。

• Bitbucket を上記のリストにある修正バージョンにアップグレードする

  • アップグレード方法の詳細は、「Bitbucket アップグレード ガイド」を参照してください。

• Bitbucket の修正バージョンへのアップグレードについてサポートが必要な場合は、新たにサポート チケットを起票してください (または、代理でサポート チケットを起票する必要がある場合はお知らせください)。

テスト

本番環境の停止を防ぐために行うもっとも重要なステップは、アップグレードに最初にステージング環境でテストすることで変更管理のベスト プラクティスに従うことです。ステージング環境のセットアップ方法の詳細については「Bitbucket Server でステージングのサーバー環境を構築する方法」をご確認ください。

Bitbucket がすでに攻撃を受けているかどうかを確認することはできますか?

SnakeYAML ライブラリ CVE-2022-1471 に関する CVE の詳細と、ご利用のインスタンスが侵害されたかどうかについて、詳細をお求めであると理解します。

恐縮ながら、お客様の Bitbucket インスタンスが攻撃を受けたかどうかを弊社側で確認することはできません。

詳細な調査が必要な場合、内部のセキュリティ チーム、スペシャリスト、セキュリティ フォレンジックの専門機関にご相談いただくことを推奨します。

アトラシアンでは、Bitbucket のファイルシステムの完全性を確認することも推奨します。たとえば、現在の状態のアーティファクトを直近のバックアップと比較することで、予期せぬ差分があるかどうかを確認できます。

セキュリティ侵害はそれぞれ異なり、攻撃されたコンポーネントによっては、攻撃者が痕跡を消し、重要なファイル (syslog、監査ログ、アクセスログなど) を変更しているリスクがあります。

Bitbucket ミラーは影響を受けますか？

SnakeYAML ライブラリ CVE-2022-1471 に関する CVE の詳細をお求めであると理解します。

はい、Bitbucket ミラーには影響を受ける SnakeYAML ライブラリが含まれています。

必要なアクション

• CVE-2022-1471 の脆弱性による潜在的な影響に関する詳細をご確認ください。

• Bitbucket Mirror を上記のリストにある修正バージョンにアップグレードする

  • アップグレード方法の詳細は、「Bitbucket アップグレード ガイド」を参照してください。

• Bitbucket の修正バージョンへのアップグレードについてサポートが必要な場合は、新たにサポート チケットを起票してください (または、代理でサポート チケットを起票する必要がある場合はお知らせください)。

修正バージョン (Bitbucket および Opensearch 含む)

SnakeYAML ライブラリ (2.0) のパッチが適用されたアップデート バージョンを含むバージョンは次のとおりです。

• 7.21.16 以降 - LTS (長期サポート)

• 8.8.7 以降

• 8.9.4 以降 - LTS

• 8.10.4 以降

• 8.11.3 以降

• 8.12.1 以降

• 8.13.0 以降

• 8.14.0 以降

• 8.15.0 以降

• 8.16.0 以降

パッチ適用済みバージョンの Bitbucket およびバンドルされている Elasticsearch/ Opensearch の現在の制限事項

次の Bitbucket バージョンには、パッチが適用された SnakeYAML ライブラリのバージョン 2.0 が含まれており、直接の影響を受けません。ただし、これには SnakeYAML ライブラリの影響を受けるバージョン (1.2.6、1.30 から 1.32) を含む Opensearch バージョンがバンドルされています。

• 7.21.12 から 7.21.15

• 8.7.4 から 8.7.5

• 8.8.6

• 8.9.1 から 8.9.3

• 8.10.0 から 8.10.3

• 8.11.0 から 8.11.2

• 8.12.0

上記のバージョンの Bitbucket を実行していて、Bitbucket とOpensearch の両方で Bitbucket Mirror をパッチ適用済みバージョンにすぐに更新できない場合は、Bitbucket Mirror から /opensearch ディレクトリを安全に削除できます。

Bitbucket Mirror の修正バージョンへのアップグレードについてサポートが必要な場合は、新たにサポート チケットを起票してください (または、代理でサポート チケットを起票する必要がある場合はお知らせください)。

Bitbucket Mesh ノードは影響を受けますか？

Bitbucket Mesh ノード上の SnakeYAML ライブラリ CVE-2022-1471 に関する詳細をお求めであると理解します。

Bitbucket Mesh ノードは別の Bitbucket インスタンスの背後にあり、一般には公開されていないはずのため、直接影響は受けません。ただし、Bitbucket Mesh の一部のバージョンには、影響を受けるバージョンの SnakeYAML ライブラリが含まれています。

以下の Bitbucket Mesh バージョンが影響を受けます。

• Bitbucket Mesh 1.0.X の全バージョン

• Bitbucket Mesh 1.1.X の全バージョン

• Bitbucket Mesh 1.2.X の全バージョン

• Bitbucket Mesh 1.3.X の全バージョン

• Bitbucket Mesh 1.4.0 と 1.4.1

• Bitbucket Mesh 1.5.0 と 1.5.1

• Bitbucket Mesh 1.5.0 と 1.5.1

• Bitbucket Mesh 2.0.0 と 2.0.1

Mesh 修正バージョン

• Bitbucket Mesh 1.4.2 以降

• Bitbucket 1.5.2 以降

• Bitbucket 2.0.2 以降

• Bitbucket 2.1.2 以降

• Bitbucket 2.2.0 以降

必要なアクション

• CVE-2022-1471 の脆弱性による潜在的な影響に関する詳細をご確認ください。

• Bitbucket ミラーを上記のリストにある修正バージョンにアップグレードする

• Bitbucket Mesh の修正バージョンへのアップグレードについてサポートが必要な場合は、新たにサポート チケットを起票する (または、代理でサポート チケットを起票する必要がある場合はお知らせください)。

• すぐにアップグレードできない場合は、Bitbucket Mesh ノードと Bitbucket DC ノードがインターネット上で公開されていないようにする

テスト

本番環境の停止を防ぐために行うもっとも重要なステップは、アップグレードに最初にステージング環境でテストすることで変更管理のベスト プラクティスに従うことです。ステージング環境のセットアップ方法の詳細については「Bitbucket Server でステージングのサーバー環境を構築する方法」をご確認ください。

このアプリの安全性を確保する方法を教えてください

Bitbucket を修正バージョンにアップグレードする

Bitbucket をセキュリティ勧告にリストされている修正済みバージョンにアップグレードすることが、CVE-2022-1471 を修正する最も確実な方法です。修正済みバージョンをインストールしたら、それ以上のアクションは必要ありません。

修正済みバージョンには次のものが含まれます。

• 7.21.16 以降 - LTS (長期サポート)

• 8.8.7 以降

• 8.9.4 以降 - LTS

• 8.10.4 以降

• 8.11.3 以降

• 8.12.1 以降

• 8.13.0 以降

• 8.14.0 以降

• 8.15.0 以降

• 8.16.0 以降

パッチを適用したバージョンの Bitbucket を外部の Opensearch/Elasticsearch で実行しています。Opensearch/Elasticsearch ディレクトリを Bitbucket から削除できますか？

はい、外部の Opensearch/Elasticsearch サービス実行している場合、Bitbucket のインストール ディレクトリから Opensearch/Elasticsearch ディレクトリを削除しても問題ありません。

このディレクトリは、お客様の環境内の次の場所にあります。

• <$BITBUCKET_INSTALL>/elasticsearch

• <$BITBUCKET_INSTALL>/opensearch

念のため、ディレクトリを削除する前に必ずバックアップを取ってください。

外部の Opensearch/Elasticsearch を実行しています。これらを更新する必要がありますか？

SnakeYAML ライブラリ CVE-2022-1471 と、外部の Opensearch/Elasticsearch サービスに関する詳細をお求めであると理解します。

この脆弱性の影響を受けるバージョンを実行している場合は、外部の Opensearch/Elasticsearch サービス更新する必要があります。

外部の Opensearch/Elasticsearch のアップグレード方法について質問がある場合は、ベンダーにお問い合わせてサポートを受けていただくことを強くお勧めします。アトラシアンは、Bitbucket のガイダンスまたはサポートだけ提供可能です。

SnakeYAMLライブラリのみを更新して、同じバージョンの Bitbucket を使い続けることはできますか？

SnakeYAML ライブラリ CVE-2022-1471 に関する詳細と、ご利用の Bitbucket バージョンで SnakeYAML ライブラリのみアップグレードすることをご希望であると理解します。

残念ながら、それはできません。互換性マトリクスは記載のバージョンに固有のものです。アプリはサポート対象バージョンでのみパッチおよびテストされているため、サポート対象外のバージョンで修正が動作するかどうかを当社で確認することはできません。

最善の方法は、Bitbucket Data Center および Server アップグレード ガイドに従って Bitbucket を修正バージョンに更新することです。