本脆弱性の対応策(修正バージョンへのアップグレードもしくは緩和策のスクリプト実行)の実施を強く推奨します。 本脆弱性は設定に依存せず、認証されていないユーザーによって悪用される可能性があります。 |
(2021/9/8 時点)Atlassian 社が公開している Windows 環境向けの緩和策スクリプトに不備があります。 詳細は Microsoft Windows オペレーションシステムで Confluence Server / Confluence Data Center を実行している場合 をご確認ください。 |
要約 | CVE-2021-26084 - Confluence Server Webwork OGNL injection |
---|---|
アドバイザリのリリース日 | 午前10時 (PDT) |
対象製品 |
Confluence Cloud のお客様は影響を受けません。 |
影響するバージョン |
|
修正済みのバージョン |
|
CVE ID(s) |
このアドバイザリでは、Confluence Server / Confluence Data Center における重大なセキュリティ脆弱性について発表します。
影響を受ける Confluence Server およびConfluence Data Center のバージョンは、上記の表に記載されています (「影響するバージョン」を参照)。
Confluence Cloud は、このページに記載されている脆弱性の影響を受けません。 |
バージョン 6.13.23、7.11.6、7.12.5、7.13.0、または 7.4.11 にアップグレードしたお客様は影響を受けません。 |
上記の「影響するバージョン」をダウンロード・インストールしているお客様については、この脆弱性を修正するために、Confluence Server / Confluence Data Center をただちにアップグレードしてください。 |
アトラシアンでは、セキュリティ問題の深刻度 に公開されている基準に従い、この脆弱性の重大度レベルを クリティカル (重大) と評価しています。この評価は、重大、高、中、低 の段階でランク付けします。
これは Atlassian 社の評価であり、実際の影響はお客さまの環境において調査していただく必要があります。
認証されていないユーザー が、Confluence Server または Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。
上述の修正済みバージョンよりも前のすべての Confluence Server および Confluence Data Center がこの脆弱性の影響を受けます。
この脆弱性は右記の課題で追跡できます。https://jira.atlassian.com/browse/CONFSERVER-67940
この問題を受けて次の対応を行っています。
この問題の修正を含む、バージョン6.13.23、7.4.11、7.11.6、7.12.5、および 7.13.0 のリリース
これらのバージョンは以下のサイトでダウンロードできます。
アトラシアンでは、最新の長期サポートリリース(以降 LTS)にアップグレードすることを推奨します。最新バージョンの詳細については Confluence Server および Data Center のリリースノート をご確認ください。最新バージョンはダウンロードセンターからダウンロードできます。
影響を受けるバージョンを実行している場合、バージョン7.13.0 (LTS) 以降にアップグレードします。
Confluence を即座にアップグレードすることができない場合、一時的な回避策 として、Confluence がホストされているオペレーティングシステムに対して、次のスクリプトを実行することで問題を軽減できます。
Confluence をクラスタで実行している場合、このスクリプトをすべてのノードで実行するようにお願いします。 |
Confluence サービスをシャットダウンします。
Confluence の Linux サーバーに cve-2021-26084-update.sh をダウンロードします。
cve-2021-26084-update.sh ファイルを編集し、INSTALLATION_DIRECTORY を Confluence のインストールディレクトリに設定します。
例:
INSTALLATION_DIRECTORY=/opt/atlassian/confluence |
ファイルを保存します。
スクリプトに実行権限を付与します。
chmod 700 cve-2021-26084-update.sh |
Confluence のインストールディレクトリのファイルを所有する Linux ユーザーに切り替えます。
例:
$ ls -l /opt/atlassian/confluence | grep bin drwxr-xr-x 3 root root 4096 Aug 18 17:07 bin # 最初の例では、緩和策のスクリプトを実行するために root ユーザーへ切り替えます。 $ sudo su root $ ls -l /opt/atlassian/confluence | grep bin drwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin # 2つ目の例では、緩和策のスクリプトを実行するために confluence ユーザーへ切り替えます。 $ sudo su confluence |
回避策のスクリプトを実行します。
$ ./cve-2021-26084-update.sh |
最大5つのファイルが更新され、次のメッセージが表示されて終了します。
Update completed! |
更新されるファイルの数はご利用の Confluence バージョンに応じて異なります。
Atlassian社 が公開している Windows 環境向けの緩和策スクリプト cve-2021-26084-update.ps1 に不備があります。(2021/9/8時点) 既に不備のある緩和策スクリプトを実行した方は、「2.既に緩和策スクリプトを実施している場合」の手順で再度スクリプトの実行をお願いします。 |
Confluence をクラスタで実行している場合、このスクリプトをすべてのノードで実行するようにお願いします。 |
Confluence サービスをシャットダウンします。
Confluence の Windows Server に cve-2021-26084-update.ps1 をダウンロードします。
cve-2021-26084-update.ps1 ファイルを編集し、スクリプト 12行目の INSTALLATION_DIRECTORY を設定します。Set_Your_Confluence_Install_Dir_Here を Confluenceの インストールディレクトリに置き換えます。
例:
|
つづけて cve-2021-26084-update.ps1 ファイルの72行目を変更前から変更後へ変更します。
(Get-Content -path "confluence\pages\createpage-entervariables.vm") -Replace '("Hidden" "name=.([a-zA-Z]+)." "value=).\$[!l][^"]+', '$1$2"' | Out-File confluence\pages\createpage-entervariables.vm.dos |
(Get-Content -path "confluence\pages\createpage-entervariables.vm") -Replace '("Hidden" "name=.([a-zA-Z]+)." "value=).\$[!l][^"]+"', '$1$2"' | Out-File confluence\pages\createpage-entervariables.vm.dos |
ファイルを保存します。
Windows PowerShell を開きます (管理者として実行)。
PowerShell のデフォルトの制限実行ポリシーを考慮し、次のコマンドをそのまま使用して PowerShell を実行します。
Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile - |
最大5つのファイルが更新され、エラーが発生しない場合は (エラーは通常赤色で表示されます)、次のメッセージが表示されて終了します。
Update completed! |
更新されるファイルの数はご利用の Confluence バージョンに応じて異なります。
Confluence サービスを起動します。
Confluence サービスをシャットダウンします。
Confluence の Windows Server に cve-2021-26084-update.ps1 をダウンロードします。
cve-2021-26084-update.ps1 ファイルを編集し、スクリプト 12行目の INSTALLATION_DIRECTORY を設定します。Set_Your_Confluence_Install_Dir_Here を Confluenceの インストールディレクトリに置き換えます。
例:
|
つづけて cve-2021-26084-update.ps1 ファイルの72行目を変更前から変更後へ変更します。
(Get-Content -path "confluence\pages\createpage-entervariables.vm") -Replace '("Hidden" "name=.([a-zA-Z]+)." "value=).\$[!l][^"]+', '$1$2"' | Out-File confluence\pages\createpage-entervariables.vm.dos |
(Get-Content -path "confluence\pages\createpage-entervariables.vm") -Replace '("Hidden" "name=.([a-zA-Z]+)." "value=).\$[!l][^"]+"', '$1$2"' | Out-File confluence\pages\createpage-entervariables.vm.dos |
ファイルを保存します。
Windows PowerShell を開きます (管理者として実行)。
PowerShell のデフォルトの制限実行ポリシーを考慮し、次のコマンドをそのまま使用して PowerShell を実行します。
Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile - |
最大5つのファイルが更新され、エラーが発生しない場合は (エラーは通常赤色で表示されます)、次のメッセージが表示されて終了します。
Update completed! |
更新されるファイルの数はご利用の Confluence バージョンに応じて異なります。
Confluence サービスを起動します。