最大深刻度スコア10.0！Atlassianが重大なセキュリティ欠陥に対処

Last Updated on 2024-03-21 16:43 by 荒木 啓介

Atlassianは、Bamboo Data CenterとServerに影響を与える重大なバグを含む2ダース以上のセキュリティ欠陥に対する修正をリリースした。このバグはCVE-2024-1597として追跡され、CVSSスコアは最大の10.0である。SQLインジェクションの脆弱性であり、org.postgresql:postgresqlという依存関係に起因する。この脆弱性により、認証されていない攻撃者がユーザーの操作なしで環境内の資産を露出させる可能性がある。

NISTのNational Vulnerability Database（NVD）によると、この脆弱性は「pgjdbc、PostgreSQL JDBCドライバーがPreferQueryMode=SIMPLEを使用している場合にSQLインジェクションを可能にする」と説明されている。影響を受けるドライバーのバージョンは42.7.2、42.6.1、42.5.5、42.4.4、42.3.9、および42.2.28（42.2.28.jre7でも修正）である。デフォルトのクエリモードを使用している場合、ドライバーには脆弱性がない。

この脆弱性はBamboo Data CenterとServerのバージョン8.2.1、9.0.0、9.1.0、9.2.1、9.3.0、9.4.0、および9.5.0で導入された。Atlassianは、Bambooおよび他のAtlassian Data Center製品は、SQLデータベース接続設定でPreferQueryMode=SIMPLEを使用していないため、CVE-2024-1597の影響を受けないと強調している。この脆弱性はSonarSourceのセキュリティ研究者Paul Gersteによって発見され報告された。ユーザーは最新バージョンへの更新を勧められている。

【ニュース解説】

Atlassianが、Bamboo Data CenterとServerに影響を与える重大なバグを含む2ダース以上のセキュリティ欠陥に対する修正をリリースしました。このバグは、CVE-2024-1597として追跡され、最大の深刻度を示すCVSSスコア10.0を持っています。特に注目すべきは、SQLインジェクションの脆弱性であり、org.postgresql:postgresqlという依存関係に起因しています。この脆弱性により、認証されていない攻撃者がユーザーの操作なしで環境内の資産を露出させる可能性があるとされています。

SQLインジェクションとは、攻撃者がデータベースに対して不正なSQLクエリを注入し、データの不正な閲覧や改ざんを行うセキュリティ上の脆弱性です。この種の攻撃は、Webアプリケーションのセキュリティにとって長年にわたり大きな脅威となっています。今回の脆弱性は、特定の設定（PreferQueryMode=SIMPLE）を使用している場合にのみ発生するため、デフォルト設定を変更していないユーザーは影響を受けません。

この脆弱性が導入されたのは、Bamboo Data CenterとServerの特定のバージョンであり、Atlassianはこの問題を修正するためのパッチをリリースしました。また、AtlassianはBambooおよび他のAtlassian Data Center製品がこの脆弱性の影響を受けないことを明確にしています。

この問題の発見と報告は、セキュリティ研究者のPaul Gersteによって行われました。ユーザーには、可能な限り早く最新バージョンへの更新を行い、セキュリティを確保することが強く勧められています。

このニュースの影響範囲は、Atlassianの製品を使用している企業や組織にとって重要です。SQLインジェクションは、機密情報の漏洩やデータの不正操作につながる可能性があるため、この脆弱性を放置することは大きなリスクを伴います。一方で、迅速なパッチ適用により、これらのリスクは軽減されます。

長期的な視点では、このようなセキュリティ上の問題は、ソフトウェア開発企業が依存関係管理とセキュリティ対策に更に注意を払うきっかけとなります。また、ユーザーに対しては、ソフトウェアの定期的な更新とセキュリティパッチの適用の重要性を再認識させる機会となるでしょう。このようなセキュリティ対策は、将来的に類似の脆弱性から保護するために不可欠です。

from Atlassian Releases Fixes for Over 2 Dozen Flaws, Including Critical Bamboo Bug.