Spring Framework 脆弱性 (CVE-2022-22965) の Atlassian 製品への影響について 2022-03-31

Owned by 眞一 芦田 (Deactivated)
Last updated: 2022/04/11
1 min read



この記事は、2022年4月11日時点の情報です。今後、Atlassian の情報更新により、ページ内容を更新する可能性がありますので、ご了承ください。
記事の情報は、Atlassian の公式ドキュメント FAQ for CVE-2022-22965  と Attention: CVE-2022-22965 Spring Framework RCE Investigation の内容を参考に記載しています。

Spring Framework 脆弱性 (CVE-2022-22965) について

2022年 3月 31日に Spring Framework に影響するリモート コード実行 (RCE) の脆弱性 (CVE-2022-22965) が公開されました。
JDK9 以降で実行されている Spring MVC または Spring WebFlux アプリケーションが、データバインディングを介したリモートコード実行(RCE)に対して脆弱である可能性があります。
この脆弱性の詳細は、以下をご確認ください。

Atlassian 製品への影響

Cloud 製品

CVE-2022-22965 脆弱性の影響を受けません。

Atlassian Cloud 製品は本脆弱性に該当せず、お客様により対応策を実施する必要はありません。
Atlassian 社の調査により、Atlassian のシステムや顧客データへの攻撃は確認されておりません。
新しい攻撃経路が発見された場合に備えて、影響を受けるバージョンの Spring を利用しているサービスにはパッチを適用しております。

Server/ Data Center 製品 

2022年4月9日に 情報の更新がありました。

一部の Atlassian Server / Data Center 製品に脆弱性の影響はありますが、条件が非常に狭い範囲となります。詳細は以下をご確認ください。

以下の 影響を受ける Atlassian Server / Data Center 製品は、影響を受ける条件にすべて該当した場合にのみ脆弱性の影響を受ける可能性があります。

影響を受ける製品

  • Bamboo Server / Data Center

  • Confluence Server / Data Center

  • Jira Software Server / Data Center

  • Jira Service Management Server / Data Center

影響を受ける条件

※以下の条件をすべて満たす必要があります

  • JDK 9 以上で動作している

  • 攻撃者がユーザーに対して悪意のある http リクエストを実行させる

  • リクエストに有効な Cross-Site Request Forgery トークンが含まれている(攻撃者はユーザーの有効なトークンを取得できない)

  • 攻撃対象のユーザーが「システム管理者」の権限でアプリケーションにログインしている

  • (Jira と Confluence のみ) 対象となるユーザーは管理者セッションがアクティブな状態でいる(デフォルトでは10分しか継続しない)

対応策

Atlassian 社は、 アトラシアンの Data Center およびサーバー製品のバグ修正ポリシー に基づき、今後、製品をアップデートする予定です。

緩和策

影響を受ける Atlassian Server / Data Center 製品をご利用のお客様は、JDK 9 以上から JDK 8 以下にダウングレードすることが可能です。
これにより、脆弱性が悪用される可能性を排除することができます。Jira と Confluence の Java バージョンを変更するには、以下の手順を実施してください。

なお、以下製品は 影響を受けるバージョンの Spring を使用していますが、既知の脆弱性はありません。

  • Bitbucket Server / Data Center

  • Crowd

  • Crucible

  • Fisheye

以下製品は Spring Framework を使用していないため、影響を受けません。

  • Sourcetree for Mac

  • Sourcetree for Windows

Atlassian Marketplace のアプリへの影響

概要

Spring のセキュリティアドバイザリ に記載の通り、アプリが Spring Framework の脆弱なバージョンを使用している場合、影響がある可能性があります。

Atlassian 社の対応

Atlassian 社では、本脆弱性のユーザーへのリスクについて引き続き調査をしております。

Atlassian 社は、ACSB (Atlassian Connect Spring Boot) が脆弱なバージョンの Spring Boot を使用していることを確認し、この脆弱性を緩和するために ACSB バージョン 2.3.3 をリリースしました。
※ ACSB  (Atlassian Connect Spring Boot) は、Atlassian 社が公式にサポートする Connect Java Framework で、Spring Boot 上に構築され、JWT 認証、署名、ホスト詳細の永続化などのタスクを処理します。

対応策

Atlassian Connect Spring Boot (ACSB) または Java/Spring Framework を直接または間接的に使用している Atlassian Marketplace のサードパーティ製アプリの場合は、アプリ側で ACSB や Spring boot のバージョンを更新する必要があります。
サードパーティ製アプリが本脆弱性の影響を受けるか、対応策があるかについては、アプリベンダーへ確認をお願いします。
※ アプリをリックソフトで標準サポート付きでご購入の場合は、弊社ヘルプデスクまでお問合せをお願いします。



リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ