IntelliJベースIDE v2016.1と古いバージョンのセキュリティアップデート

IntelliJプラットフォームベースのIDEについて重要なアップデートをリリースいたしました。このアップデートは重大なセキュリティ脆弱性を修正しています。脆弱性は過去のバージョンにも存在するため、パッチもリリースしております。

この脆弱性を突いて攻撃した事例についての報告は受けておりませんが、可能な限り早くアップデートして頂くことを強く推奨いたします。

詳しくは以下にご説明いたします。

内蔵Webサーバの脆弱性

クロスサイトリクエストフォージェリー(CSRF)により攻撃者が悪意のあるWebページを使い、ユーザーの同意なしにローカルファイルシステムへ アクセスすることを許可します。

インターナルRPCの脆弱性

不必要に寛大なCORS(Cross-Origin Resource Sharing)設定により、攻撃者は悪意のあるWebサイトを使うことで様々なインターナルAPIエンドポイントを利用することができ、IDEで保存しているデータにアクセスしたり、IDEバージョンといったメタデータを収集したり、プロジェクトを開いたりできます。

この脆弱性を報告頂き、緊密に協力してくださったJordan Milne、この修正にあたり完璧なコラボレーションを発揮してくださったGoogleのAndroid Studioチームに感謝いたします。

アップデート方法

IDEの‘Check for Updates’よりアップデートするか、www.jetbrains.comより最新版をダウンロードしてください。過去のバージョンをお使いの方は以下のリンクを参考にしてください。

FAQ

Q: どの製品/バージョンがアップデートされましたか?
A: IntelliJプラットフォームベースの全ての製品に影響があります。以下の表でアップデートをリリースした最低のバージョンを示します。以下の表にあるバージョンまたはそれ以降のバージョンをお使いの場合はアップデートの必要があります。

製品 アップデートのあるバージョン(ビルド番号)
AppCode 2.1 (129.772)
CLion 1.0 (141.353)
DataGrip 1.0 (143.1410.7)
IntelliJ IDEA 12.1 (129.161)
MPS 3.0 (129.350)
PhpStorm 6.0 (129.291)
PyCharm 2.7 (125.57)
PyCharm Edu 1.0 (139.280)
Rider Private EAP builds prior to build 144.5342
RubyMine 5.4 (129.241)
WebStorm 6.0 (127.68)

Q: より以前のバージョンも危険ですか?
A: 上記の表に記載されているものより以前のバージョンについて、同様の脆弱製については確認しておりません。内蔵Webサーバは2012年12月に導入され、RPCの脆弱製は過去のバージョンには存在しません。依然、古いバージョンには脆弱製のある可能性がありますので3年以上前にリリースされたIDEをお使いの場合はアップグレードしていただくことをおすすめいたします。

Q: 影響のない製品はありますか?
A: ReSharper、ReSharper C++、dotCover、dotMemory、dotTrace、dotPeek、TeamCity、YouTrack、Upsurge、Hubは影響がないため、今回のセキュリティアップデート対象ではありません。

Q: パッチではなく、製品を丸ごとインストールしたいのですが、どこでダウンロードできますか?
A: 以下に、過去のバージョンをダウンロードできるページのリンクを示します。2016年5月10日以降にリリースされたものはセキュリティアップデートを含みます。

Q: 最新版をダウンロードできません。どうすればよいですか?
A: どういう問題がありダウンロードできないのか、こちらにお知らせください。

Q: I’m building an IDE on IntelliJ Platform. What should I do?
A: Please check out the latest source code from the branch you are currently using and rebuild your product. For more details please contact security@jetbrains.com or the partner team at busdev@jetbrains.com for any questions or concerns.

Q: JetBrains製ではないIntelliJプラットフォームベースのIDEを利用しています。どうすれば良いですか?
A: IntelliJプラットフォームベースのIDEをリリースしているパートナーには連絡しております。Android Studio 1.5.xと2.xはすでにアップデートがリリースされております。ほかのIDEについては各ベンダにコンタクトしてください。その他の質問はこちらへお願い致します。

Q: IntelliJプラットフォームのプラグインを開発していますが、プラグインをアップデートする必要はありますか?
A: いいえ。プラグインは影響がありません。

Q: 今後脆弱製が見つかった際、通知を受けたいです。
A: セキュリティ速報をこちらより購読していただけます: www.jetbrains.com/security/subscribe

追記: OS Xをご利用でアップデート後に起動できない場合はOS X 10.11へアップデートする、Java 1.6をインストール(IDEがJava 1.6を使うわけではありませんが、インストールすることでこの問題を回避できます)、キーボード設定のカスタムキーボードレイアウト設定(~/Library/Keyboard Layouts)がある場合は無効化、のいずれかで回避してください。[回避方法について記載されたオリジナル英語記事]

JetBrains Team
The Drive to Develop

[原文]

image description