メタデータの末尾にスキップ
メタデータの先頭に移動

このページの古いバージョンを表示しています。現在のバージョンを表示します。

現在のバージョンとの相違点 ページ履歴を表示

バージョン 1 現在のバージョン »

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です)

目次

Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471

要約

Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471

アドバイザリのリリース日

午後 2時 (JST)

対象製品

  • Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む)

  • Bitbucket Data Center and Server

  • Confluence Cloud Migration アプリ (CCMA)

  • Confluence Data Center and Server

  • Jira Core Data Center and Server

  • Jira Service Management Data Center and Server

  • Jira Software Data Center and Server

CVE ID(s)

CVE-2022-1471

Atlassian 社の不具合チケット

脆弱性の説明

複数の Atlassian Data Center および Server 製品は、Java 用の SnakeYAML ライブラリを使用しており、RCE (リモートコード実行) につながる可能性があります。逆シリアル化で欠陥が発生する影響を受けやすくなります。

Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社のサイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の影響を受けません。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は、以下の表にあるすべてのバージョンに影響します。

Atlassian 社は最新バージョンまたは修正済みの LTS バージョンへのバージョンアップを推奨しています。

製品

影響を受けるバージョン

Bitbucket Data Center and Server

  • 7.17.x

  • 7.18.x

  • 7.19.x

  • 7.20.x

  • 7.21.0-7.21.15

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.x

  • 8.4.x

  • 8.5.x

  • 8.6.x

  • 8.7.x

  • 8.8.0 - 8.8.6

  • 8.9.0 - 8.9.3

  • 8.10.0 - 8.10.3

  • 8.11.0 - 8.11.2

  • 8.12.0

Confluence Data Center and Server

  • 6.13.x

  • 6.14.x

  • 6.15.x

  • 7.0.x

  • 7.1.x

  • 7.2.x

  • 7.3.x

  • 7.4.x

  • 7.5.x

  • 7.6.x

  • 7.7.x

  • 7.8.x

  • 7.9.x

  • 7.10.x

  • 7.11.x

  • 7.12.x

  • 7.13.0 - 7.13.17

  • 7.14.x

  • 7.15.x

  • 7.16.x

  • 7.17.x

  • 7.18.x

  • 7.19.0 - 7.19.9

  • 7.20.x

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.0

Jira Core Data Center and Server

Jira Software Data Center and Server

  • 9.4.0 - 9.4.12

  • 9.5.x

  • 9.6.x

  • 9.7.x

  • 9.8.x

  • 9.9.x

  • 9.10.x

  • 9.11.0 - 9.11.1

Jira Service Management Data Center and Server

  • 5.4.0 - 5.4.12

  • 5.5.x

  • 5.6.x

  • 5.7.x

  • 5.8.x

  • 5.9.x

  • 5.10.x

  • 5.11.0 - 5.11.1

アプリ

製品

影響を受けるバージョン

Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む)

  • 9.0.1

  • 9.0.0

  • <= 8.2.2

Confluence Cloud Migration アプリ (CCMA)

3.4.0より低いプラグインバージョン

必要なアクション

対応策

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。

製品

対応

Bitbucket Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 7.21.16 (LTS)

  • 8.10.4

  • 8.11.3

  • 8.12.1

  • 8.13.0

  • 8.8.7

  • 8.9.4 (LTS)

軽減策

この脆弱性に軽減策はございません。直ちにアップグレードをしてください。

Confluence Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 7.19.17 (LTS)

  • 8.4.5

  • 8.5.4 (LTS)

  • 8.6.2

  • 8.7.0

以下のバージョンでも修正されています

この修正は 7.13.18、7.19.10、8.3.1 に含まれていますが、これらのバージョンには以前に報告されたセキュリティの脆弱性が含まれています。

軽減策

この脆弱性に軽減策はございません。直ちにアップグレードをしてください。

Jira Core Data Center and Server

Jira Software Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 9.11.2

  • 9.12.0 (LTS)

  • 9.4.14 (LTS)

軽減策

製品インスタンスを修正済みバージョンにアップグレードできない場合は、ユニバーサル・プラグイン・マネジャー (UPM) 経由で Automation for Jira (A4J) アプリを修正済みバージョンにアップグレードすることで、この脆弱性を完全に緩和することができます。

  • Automation for Jira アプリ を 9.0 (Jira 9.11+ にバンドル) 以降にアップグレードする場合は、アウトバウンド HTTP リクエストの許可リストがデフォルトで有効になっているため、ご注意ください。
    変更方法は 重大な変更 をご確認ください。

  • MySQL か SQL Server を利用の環境は、Automation for Jira アプリを バージョン 7.3 以降にアップグレードする場合には、以下の作業ステップの実行が必要です。
    Automation for Jira 7.3 以降にアップグレードする

Jira Service Management Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 5.11.2

  • 5.12.0 (LTS)

  • 5.4.14 (LTS)

Jira の修正済みバージョンへのアップグレードも併せて必要です。

軽減策

製品インスタンスを修正済みバージョンにアップグレードできない場合は、ユニバーサル・プラグイン・マネジャー (UPM) 経由で Automation for Jira (A4J) アプリを修正済みバージョンにアップグレードすることで、この脆弱性を完全に緩和することができます。

  • Automation for Jira アプリ を 9.0 (JSM 5.11+ にバンドル) 以降にアップグレードする場合は、アウトバウンド HTTP リクエストの許可リストがデフォルトで有効になっているため、ご注意ください。
    変更方法は 重大な変更 をご確認ください。

  • MySQL か SQL Server を利用の環境は、Automation for Jira アプリを バージョン 7.3 以降にアップグレードする場合には、以下の作業ステップの実行が必要です。
    Automation for Jira 7.3 以降にアップグレードする

アプリ

製品

対応

Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む)

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 9.0.2

  • 8.2.4

軽減策

ユニバーサル・プラグイン・マネージャー(UPM)経由でアップグレードしてください。

Confluence Cloud Migration アプリ (CCMA)

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 3.4.0

軽減策

この脆弱性に軽減策はございません。直ちにアップグレードをしてください。

FAQ

Atlassian 社が作成しました FAQの記事は以下をご参照ください。

ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。

  • ラベルがありません

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ