この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です) |
目次
要約 | Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471 |
---|---|
アドバイザリのリリース日 | 午後 2時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2022-1471 |
Atlassian 社の不具合チケット |
複数の Atlassian Data Center および Server 製品は、Java 用の SnakeYAML ライブラリを使用しており、RCE (リモートコード実行) につながる可能性があります。逆シリアル化で欠陥が発生する影響を受けやすくなります。
Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社のサイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の影響を受けません。 |
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
この RCE (リモートコード実行) 脆弱性は、以下の表にあるすべてのバージョンに影響します。
Atlassian 社は最新バージョンまたは修正済みの LTS バージョンへのバージョンアップを推奨しています。
製品 | 影響を受けるバージョン |
---|---|
Bitbucket Data Center and Server |
|
Confluence Data Center and Server |
|
Jira Core Data Center and Server Jira Software Data Center and Server |
|
Jira Service Management Data Center and Server |
|
製品 | 影響を受けるバージョン |
---|---|
Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む) |
|
Confluence Cloud Migration アプリ (CCMA) | 3.4.0より低いプラグインバージョン |
Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。
製品 | 対応 | |
---|---|---|
Bitbucket Data Center and Server | 以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード
軽減策 この脆弱性に軽減策はございません。直ちにアップグレードをしてください。 | |
Confluence Data Center and Server | 以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード
以下のバージョンでも修正されています この修正は 7.13.18、7.19.10、8.3.1 に含まれていますが、これらのバージョンには以前に報告されたセキュリティの脆弱性が含まれています。 軽減策 この脆弱性に軽減策はございません。直ちにアップグレードをしてください。 | |
Jira Core Data Center and Server Jira Software Data Center and Server | 以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード
軽減策 製品インスタンスを修正済みバージョンにアップグレードできない場合は、ユニバーサル・プラグイン・マネジャー (UPM) 経由で Automation for Jira (A4J) アプリを修正済みバージョンにアップグレードすることで、この脆弱性を完全に緩和することができます。
| |
Jira Service Management Data Center and Server | 以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード
Jira の修正済みバージョンへのアップグレードも併せて必要です。 軽減策 製品インスタンスを修正済みバージョンにアップグレードできない場合は、ユニバーサル・プラグイン・マネジャー (UPM) 経由で Automation for Jira (A4J) アプリを修正済みバージョンにアップグレードすることで、この脆弱性を完全に緩和することができます。
|
製品 | 対応 | |
---|---|---|
Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む) | 以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード
軽減策 ユニバーサル・プラグイン・マネージャー(UPM)経由でアップグレードしてください。
| |
Confluence Cloud Migration アプリ (CCMA) | 以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード
軽減策 この脆弱性に軽減策はございません。直ちにアップグレードをしてください。 FAQAtlassian 社が作成しました FAQの記事は以下をご参照ください。 |
ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。
ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。