/
Confluence Data Center org.apache.tomcat:tomcat-catalina Dependency の脆弱性 2025-02-18 日本語訳

Confluence Data Center org.apache.tomcat:tomcat-catalina Dependency の脆弱性 2025-02-18 日本語訳

この記事は Atlassian 社のセキュリティ速報や Atlassian 社への問合せ回答の情報を元に作成したものです。(2025年2月20日時点の情報です)

Security Bulletin - February 18 2025 | Atlassian Support | Atlassian Documentation

本記事の CVSS 深刻度が”Critical” である脆弱性は Atlassian 製品が稼働する Tomcat によるものです。Atlassian 製品の標準設定ではリスクが低いと評価されたため今回はアドバイザリーを公開せず月次Security Bulletin にて公開しています。

目次


RCE 脆弱性 - CVE-2024-50379

要約

Confluence DataCenter RCE (リモートコード実行) 脆弱性

Bulletin のリリース日

Feb 19, 2025 午前3時 (JST)

対象製品

  • Confluence Data Center

CVE ID(s)

  • CVE-2024-50379

Atlassian 社の不具合チケット

脆弱性の概要

RCE (リモートコード実行)を利用した認証されていない攻撃者によって、環境内の資産を公開される可能性があり、機密性、完全性、可用性に大きな影響を与えます。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

脆弱性の説明

次の条件をすべて満たす環境上で Confluence を稼働した場合に当該脆弱性の影響を受けます。

  • <install_path>/apache-tomcat/conf/web.xml で、DefaultServlet の readonly 属性が明示的に false に設定されている(これはデフォルトの構成ではありません)。

  • オペレーティング システムが 大文字と小文字を区別しないファイル システムを採用している (デフォルト状態のMac OS X や Windows など)。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は Confluence Data Center の 9.1.0 および 9.2.0に影響します。

Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Confluence Data Center

  • 9.2.0 (LTS)

  • 9.1.0 から 9.1.1

  • 9.0.1 から 9.0.3

  • 8.9.0 から 8.9.8

  • 8.8.0 から 8.8.1

  • 8.7.1 から 8.7.2

  • 8.6.0 から 8.6.2

  • 8.5.0 から 8.5.18 (LTS)

  • 8.4.0 から 8.4.5

  • 8.3.0 から 8.3.4

  • 8.2.0 から 8.2.3

  • 8.1.1 から 8.1.4

  • 7.19.6 から 7.19.30 (LTS)

必要なアクション

対応策

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。

修正済みバージョン

製品

修正済みバージョン

最新バージョン

製品

修正済みバージョン

最新バージョン

Confluence Data Center

  • 9.3.1

  • 9.2.1 (LTS) 推奨 

  • 8.5.19 (LTS)

  • 9.3.1

RCE 脆弱性(CVE-2024-50379)の追加情報 - CVE-2024-56337

要約

Confluence DataCenter RCE (リモートコード実行) 脆弱性

Bulletin のリリース日

Feb 19, 2025 午前3時 (JST)

対象製品

  • Confluence Data Center

CVE ID(s)

  • CVE-2024-56337

Atlassian 社の不具合チケット

脆弱性の概要

CVE-2024-50379 では、大文字と小文字を区別しないファイルシステム上で、かつDefaultServlet の readonly 属性が明示的に false に設定してTomcat を実行している場合、追加の設定が必要となる可能性がありました。

Java バージョン 21 以降でこの追加設定は不要となりました。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は Confluence Data Center の 9.1.0 および 9.2.0に影響します。

Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Confluence Data Center

  • 9.2.0 (LTS)

  • 9.1.0 から 9.1.1

  • 9.0.1 から 9.0.3

  • 8.9.0 から 8.9.8

  • 8.8.0 から 8.8.1

  • 8.7.1 から 8.7.2

  • 8.6.0 から 8.6.2

  • 8.5.0 から 8.5.18 (LTS)

  • 8.4.0 から 8.4.5

  • 8.3.0 から 8.3.4

  • 8.2.0 から 8.2.3

  • 8.1.1 から 8.1.4

  • 7.19.6 から 7.19.30 (LTS)

必要なアクション

対応策

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。

修正済みバージョン

製品

修正済みバージョン

最新バージョン

製品

修正済みバージョン

最新バージョン

Confluence Data Center

  • 9.3.1

  • 9.2.1 (LTS) 推奨 

  • 8.5.19 (LTS)

  • 9.3.1

ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。

 

Related content

Crowd Data Center org.apache.tomcat:tomcat-catalina Dependency の脆弱性 (CVE-2024-50379/CVE-2024-56337/CVE-2024-52316) 日本語訳
Crowd Data Center org.apache.tomcat:tomcat-catalina Dependency の脆弱性 (CVE-2024-50379/CVE-2024-56337/CVE-2024-52316) 日本語訳
More like this
Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471 2023-12-06 日本語訳
Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471 2023-12-06 日本語訳
More like this
Confluence Server & Confluence Data Center Security Advisory 2021-08-25 日本語訳
Confluence Server & Confluence Data Center Security Advisory 2021-08-25 日本語訳
More like this
Confluence Server/Data Center における権限昇格の脆弱性 - CVE-2023-22515 2023-10-05 日本語訳
Confluence Server/Data Center における権限昇格の脆弱性 - CVE-2023-22515 2023-10-05 日本語訳
More like this
Confluence Server and Data Center - Critical severity unauthenticated remote code execution vulnerability (CVE-2022-26134) 2022-06-02 日本語訳
Confluence Server and Data Center - Critical severity unauthenticated remote code execution vulnerability (CVE-2022-26134) 2022-06-02 日本語訳
More like this

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。


Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ