この記事は Atlassian 社のセキュリティ速報や Atlassian 社への問合せ回答の情報を元に作成したものです。(2025年2月20日時点の情報です)

Security Bulletin - February 18 2025 | Atlassian Support | Atlassian Documentation

本記事の CVSS 深刻度が”Critical” である脆弱性は Atlassian 製品が稼働する Tomcat によるものです。Atlassian 製品の標準設定ではリスクが低いと評価されたため今回はアドバイザリーを公開せず月次Security Bulletin にて公開しています。

1 RCE 脆弱性 - CVE-2024-50379
- 1.1 脆弱性の概要
  - 1.1.1 深刻度
- 1.2 脆弱性の説明
  - 1.2.1 影響を受けるバージョン
- 1.3 必要なアクション
  - 1.3.1 対応策
  - 1.3.2 修正済みバージョン
2 RCE 脆弱性（CVE-2024-50379）の追加情報 - CVE-2024-56337
- 2.1 脆弱性の概要
  - 2.1.1 深刻度
  - 2.1.2 影響を受けるバージョン
- 2.2 必要なアクション
  - 2.2.1 対応策
  - 2.2.2 修正済みバージョン

RCE 脆弱性 - CVE-2024-50379

要約	Confluence DataCenter RCE (リモートコード実行) 脆弱性
Bulletin のリリース日	Feb 19, 2025 午前3時 (JST)
対象製品	Confluence Data Center
CVE ID(s)	CVE-2024-50379
Atlassian 社の不具合チケット	RCE (Remote Code Execution) org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center and Server

脆弱性の概要

RCE (リモートコード実行)を利用した認証されていない攻撃者によって、環境内の資産を公開される可能性があり、機密性、完全性、可用性に大きな影響を与えます。

深刻度

Atlassian 社は、セキュリティ問題の深刻度を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

脆弱性の説明

次の条件をすべて満たす環境上で Confluence を稼働した場合に当該脆弱性の影響を受けます。

<install_path>/apache-tomcat/conf/web.xml で、DefaultServlet の readonly 属性が明示的に false に設定されている（これはデフォルトの構成ではありません）。
オペレーティングシステムが大文字と小文字を区別しないファイルシステムを採用している (デフォルト状態のMac OS X や Windows など)。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は Confluence Data Center の 9.1.0 および 9.2.0に影響します。

Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。

製品	影響を受けるバージョン

製品	影響を受けるバージョン
Confluence Data Center	9.2.0 (LTS) 9.1.0 から 9.1.1 9.0.1 から 9.0.3 8.9.0 から 8.9.8 8.8.0 から 8.8.1 8.7.1 から 8.7.2 8.6.0 から 8.6.2 8.5.0 から 8.5.18 (LTS) 8.4.0 から 8.4.5 8.3.0 から 8.3.4 8.2.0 から 8.2.3 8.1.1 から 8.1.4 7.19.6 から 7.19.30 (LTS)

必要なアクション

対応策

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。

修正済みバージョン

製品	修正済みバージョン	最新バージョン

製品	修正済みバージョン	最新バージョン
Confluence Data Center	9.3.1 9.2.1 (LTS) 推奨 8.5.19 (LTS)	9.3.1

RCE 脆弱性（CVE-2024-50379）の追加情報 - CVE-2024-56337

要約	Confluence DataCenter RCE (リモートコード実行) 脆弱性
Bulletin のリリース日	Feb 19, 2025 午前3時 (JST)
対象製品	Confluence Data Center
CVE ID(s)	CVE-2024-56337
Atlassian 社の不具合チケット	RCE (Remote Code Execution) org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center and Server

脆弱性の概要

CVE-2024-50379 では、大文字と小文字を区別しないファイルシステム上で、かつDefaultServlet の readonly 属性が明示的に false に設定してTomcat を実行している場合、追加の設定が必要となる可能性がありました。

Java バージョン 21 以降でこの追加設定は不要となりました。

深刻度

Atlassian 社は、セキュリティ問題の深刻度を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は Confluence Data Center の 9.1.0 および 9.2.0に影響します。

Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。

製品	影響を受けるバージョン

製品	影響を受けるバージョン
Confluence Data Center	9.2.0 (LTS) 9.1.0 から 9.1.1 9.0.1 から 9.0.3 8.9.0 から 8.9.8 8.8.0 から 8.8.1 8.7.1 から 8.7.2 8.6.0 から 8.6.2 8.5.0 から 8.5.18 (LTS) 8.4.0 から 8.4.5 8.3.0 から 8.3.4 8.2.0 から 8.2.3 8.1.1 から 8.1.4 7.19.6 から 7.19.30 (LTS)

必要なアクション

対応策

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。

修正済みバージョン

製品	修正済みバージョン	最新バージョン

製品	修正済みバージョン	最新バージョン
Confluence Data Center	9.3.1 9.2.1 (LTS) 推奨 8.5.19 (LTS)	9.3.1

ご不明点はヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約はお問い合わせフォームにご連絡ください。

ヘルプデスク

Confluence Data Center org.apache.tomcat:tomcat-catalina Dependency の脆弱性 2025-02-18 日本語訳

RCE 脆弱性 - CVE-2024-50379

脆弱性の概要

深刻度

脆弱性の説明

影響を受けるバージョン

必要なアクション

対応策

修正済みバージョン

RCE 脆弱性（CVE-2024-50379）の追加情報 - CVE-2024-56337

脆弱性の概要

深刻度

影響を受けるバージョン

必要なアクション

対応策

修正済みバージョン

Related content