2022年 8月1日更新: Atlassian 社が 2022年 7月31日 (JST) にセキュリティアドバイザリを更新した内容を反映しました。 本脆弱性の対応をしていない場合、Confluence のアクティビティ情報を含んだ email が サードパーティのメールアドレス に送信されている可能性があります。 |
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです |
要約 | Questions for Confluence アプリで作成されたハードコードされた資格情報を持つ Confluence アカウントに関する脆弱性 (CVE-2022-26138) |
---|---|
アドバイザリのリリース日 | 午前 2時 (JST) |
対象製品 | Questions For Confluence アプリ (Confluence Server 版 / Confluence Data Center 版) Questions For Confluence アプリ Confluence Cloud 版は影響を受けません |
CVE ID(s) |
|
Confluence Server または Data Center で Questions For Confluence アプリ を有効にしている場合、ユーザー名 disabledsystemuser
で Confluence ユーザーアカウントが作成されます。
(このアカウントは、アプリデータを Confluence Cloud へ移行する管理者作業を軽減するためのものです)
disabledsystemuser
アカウントは、ハードコードされたパスワードで作成され、 confluence-users
グループに追加されます。このグループは、デフォルトの権限設定では Confluence 内で制限されていないすべてのページの表示や編集ができます。
そのため、ハードコードされたパスワードを知っているリモートの認証していない攻撃者は、この脆弱性を悪用して Confluence へログインできます。
Atlassian 社では、この問題が悪用されたという報告を現時点では受けていませんが、ハードコードされたパスワードは、影響を受けるバージョンのアプリをダウンロードして確認すれば、簡単に入手することができます。
この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/CONFSERVER-79483
2022年7月31日更新情報
|
影響を受ける場合は、ただちに本脆弱性の修正対応をしてください。以下の理由があります:
|
Atlassian 社は、本脆弱性の セキュリティ問題の深刻度 を 重大 レベルと評価しています。
Confluence Server または Data Center インスタンスに以下の情報を持つアクティブなユーザーアカウントが存在している場合、本脆弱性の影響を受けています。
ユーザー: disabledsystemuser
ユーザー名: disabledsystemuser
メールアドレス: dontdeletethisuser@email.com
このアカウントは、Questions for Confluence アプリを過去にインストールしてその後アンインストールした場合も存在する可能性があることに注意してください。
このアカウントがアクティブなユーザーの一覧に表示されない場合は、ご利用の Confluence インスタンスは影響を受けません。
以下のアプリのバージョンは、ハードコードされたパスワードを持つ |
Questions for Confluence 2.7.x |
|
---|---|
Questions For Confluence 3.0.x |
|
Questions for Confluence アプリをアンインストールしても本脆弱性は修復されません。 |
Questions for Confluence アプリを次の修正済みバージョンにアップレートしてください。
2.7系
2.7.38 以上 (Confluence 6.13.18 - 7.16.2 との互換性あり)
3.0系
3.0.5 以上 (Confluence 7.16.13以降との互換性あり)
アプリの更新方法の詳細については、以下ドキュメントをご参照ください。
Questions for Confluence アプリの修正済みバージョンでは、 disabledsystemuser
ユーザーアカウントは作成されず、作成済みである場合はシステムから削除されます。Confluence Cloud へのアプリデータの移行は手動で実施するようにお願いしています。
disabledsystemuser
アカウントの無効化または削除disabledsystemuser
アカウントを検索し、無効化または削除をお願いします。ユーザーアカウントの無効化または削除方法 (この2つの違いについての説明含む) については次のページをご確認ください。
disabledsystemuser
アカウントでログインされていたかを確認するには、ユーザーの最終ログイン時刻の一覧の取得方法を案内している次のドキュメントをご確認ください。
disabledsystemuser
の最終認証時刻が null
である場合、アカウントは存在していますが過去にログインしていないことを意味します。
Confluence が何等かの 通知メールをサードパーティーのメールアカウントに送付しているかどうか判断する方法は、Confluence の送信用のメールサーバー のログを確認し dontdeletethisuser@email.com にメッセージが送信されているかどうか確認してください。