今週のセキュリティダイジェストでは、Jiraの重大なセキュリティ勧告をはじめ、JavaやKubernetesのingress-nginx モジュールに存在する深刻度の高い脆弱性を取り上げます。
JIRA サーバとデータセンター認証のバイパス
Atlassianが4月20日に発表したセキュリティアドバイザリによると、JIRA ServerおよびData Centerの一部の旧バージョンには、認証バイパスの脆弱性が存在する可能性があるとのことです。この脆弱性により、リモートの未認証の攻撃者が、影響を受ける設定を使用して、WebWorkアクションの認証と承認の要件をバイパスすることができます。Atlassian はこの脆弱性を重要度(Critical severity)と評価し、特定の設定のみが脆弱性を引き起こす環境であることに留意することが有用であるとしています。
影響を受けるサードパーティーおよびアトラシアンのアプリケーションの詳細については、アドバイザリーをご覧ください。この脆弱性は致命的であるため、アトラシアンは Jira のパッチを適用したバージョンにアップグレードすることでこの脆弱性を修正するようユーザーに推奨しています。
脆弱性のあるバージョンは以下の通りです。
Atlassian Jira Server および Data Center のバージョン 8.13.18 以前、8.14.0 ~ 8.20.6 間、および 8.21.0 ~ 8.22.0 間。
Atlassian Jira Service Management Server および Data Center のバージョン 4.13.18 以前、4.14.0 ~ 4.20.6 以前、および 4.21.0 ~ 4.22.0 以降。
修正されたバージョンは、8.13.18, 8.20.6, 8.22.0 と 4.13.18, 4.20.6, 4.22.0 です。
Javaによるサイキックシグネチャ
ECDSA(Elliptic Curve Digital Signature Algorithm)は、楕円曲線暗号を用いた電子署名アルゴリズムで、適切に実装することが難しいことで有名である。
CVE-2022-21449は、Java による ECDSA 署名の処理方法に発見された脆弱性に割り当てられています。Java バージョン 15 でコードベースの EC 部分が書き換えられ、この書き換えにより、署名の検証時に特定のチェックが行われないというバグが発生しました。
署名付きJSONウェブトークン(JWT)やその他の認証メッセージにECDSAを使用している場合、このバグにより、攻撃者がSSL証明書とハンドシェイクを偽造してサーバーを認証することができるようになります。Oracle社は、この脆弱性を緩和するために、インストールしたJavaを最新バージョンに更新することをユーザーに推奨しています。15以上のすべてのJavaバージョンが影響を受け、Oracleがリリースした2022年4月の重要なパッチアップデートは、この脆弱性を緩和しています。
National Vulnerability Databaseによると、この脆弱性の悪用に成功すると、重要なデータまたはOracle Java SE, Oracle GraalVM Enterprise Editionのアクセス可能なすべてのデータに対して不正な作成、削除、修正アクセスが行われる可能性があるとのことです。
根本的な原因
Java version 15では、当初C++で書かれていた楕円曲線暗号のコードがJavaで書き換えられました。この書き換えにより、ECDSA署名を利用した認証機構が、偽造されたメッセージを認証する脆弱性を持つようになりました。
CVE-2022-21449 に対する OpenJDK 脆弱性アドバイザリは、こちらでご覧になれます。
クレジットニール・マデン
Kubernetes Ingress-Nginx 脆弱性
Kubernetesは、ロードバランサーおよびリバースプロキシとして、ingress-nginxモジュールをユーザーに提供しています。
CVE-2021-25746は、ingress オブジェクトを作成または更新できるユーザーが、ingress-nginx コントローラーのクレデンシャルを取得できる脆弱性に割り当てられています。デフォルトの設定では、その資格情報は、クラスタのすべてのシークレットにアクセスすることができます。
A successful exploit by a malicious user could allow them access to every secret in the Kubernetes environment. This is a high-severity vulnerability that only affects Kubernetes users who use the ingress-nginx module (<1.2.0) in its default configuration. If you do not use the ingress-nginx controller, you are not affected, as per the security advisory. This vulnerability was mitigated by the 1.2.0 and v1.2.0-beta.0 version updates.
勧告によると、修正プログラムを展開できない場合、この脆弱性は、metadata.annotationsの値を既知の安全な値に制限する入場ポリシーを実装することでも緩和できます(新しく追加されたルール、またはannotation-value-word-blocklistの推奨値を参照してください)。
コメント