Confluence Server and Data Center - Critical severity unauthenticated remote code execution vulnerability (CVE-2022-26134) 2022-06-02 日本語訳

Owned by 眞一 芦田 (Deactivated)
2022/06/15
1 min read

 

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2022年6月13日時点の情報です)

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Jira Server and Data Center - 未認証のリモート コード実行 (CVE-2022-26134)

要約

CVE-2022-26134- 未認証のリモート コード実行についての重大な深刻度の脆弱性

アドバイザリのリリース日

Jun 3, 2022 午前 5時 (JST)

対象製品

  • Confluence 

    • Confluence Server

    • Confluence Data Center

影響を受けるバージョン

Confluence Server および Data Center のすべてのサポート対象バージョンが影響を受けます。

  • Confluence Server および Data Center ver.1.3.0 以降が影響を受けます。

修正されたバージョン

  • 7.4.17

  • 7.13.7

  • 7.14.3

  • 7.15.2

  • 7.16.4

  • 7.17.4

  • 7.18.1

CVE ID(s)

  • CVE-2022-26134


脆弱性の説明

深刻度

アトラシアン社は アトラシアンの深刻度レベル で公開されている尺度に従って、この脆弱性の深刻度レベルを重大として評価しています。

脆弱性の詳細

アトラシアン社より、Confluence Data Center および Server における、重大な深刻度を持つ未認証のリモート コード実行の脆弱性が発表されました。認証されていないユーザーが、Confluence Server および Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。 

上述の修正されたバージョンよりも前の、Confluence Server および Data Center のすべてのバージョンが、この脆弱性の影響を受けます。

この問題はこちらで追跡できます。 https://jira.atlassian.com/browse/CONFSERVER-79016

Confluence Cloud は本脆弱性の影響を受けません。

脆弱性の対応について

対応策

アトラシアン社では、本脆弱性の対応するために、この問題の修正を含むバージョン(7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 および 7.18.1 )をリリースしました。

修正バージョンへ Confluence をアップグレードするようにお願いします。
最新バージョンに関する説明については、Confluence Server および Data Center のリリース ノートをご確認ください。最新バージョンはダウンロード センターからダウンロードできます。

Confluence をクラスタで実行している場合、ダウンタイムなしで修正済みバージョンにアップグレードする (ローリング アップグレード) ことはできません。「Confluence Data Center のアップグレード」の手順でアップグレードをお願いします。

緩和策

Confluence をすぐにアップグレードすることができない場合、一時的な回避策として、製品のバージョンに合わせて次のファイルを更新することで CVE-2022-26134 の問題を軽減できます。

Confluence 7.15.0 - 7.18.0 の場合

  1. Confluence をシャットダウンします。

  2. 次のファイルを Confluence のサーバーにダウンロードします。

  3. 次の JAR ファイルを削除するか、Confluence のインストール ディレクトリの外部に移動します。

    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

    この古い JAR のコピーをこのディレクトリに残さないでください。

  4. ダウンロードした xwork-1.0.3-atlassian-10.jar<confluence-install>/confluence/WEB-INF/lib/にコピーします。

  5. 新しい xwork-1.0.3-atlassian-10.jar ファイルの権限とオーナーシップが同じディレクトリ内の既存のファイルに一致することを確認します。

  6. Confluence を起動します。

Confluence をクラスタで実行している場合、上記の更新をすべてのノードで行うようにしてください。

この軽減策を適用するためにクラスタ全体をシャットダウンする必要はありません。 

 

Confluence 6.0.0 - Confluence 7.14.2 の場合

  1. Confluence をシャットダウンします。 

  2. 次の 3 つのファイルを Confluence のサーバーにダウンロードします。

  3. 次の JAR ファイルを削除するか、Confluence のインストール ディレクトリの外部に移動します。

    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

    これらの古い JAR のコピーをこのディレクトリに残さないでください。

  4. ダウンロードした xwork-1.0.3-atlassian-10.jar<confluence-install>/confluence/WEB-INF/lib/ にコピーします。

  5. ダウンロードした webwork-2.1.5-atlassian-4.jar<confluence-install>/confluence/WEB-INF/lib/にコピーします。

  6. 両方の新しいファイル(4と5のファイル)の権限とオーナーシップが、同じディレクトリ内の既存のファイルと一致することを確認します。 

  7. ディレクトリの位置を <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup に切り替えます。

    1. webwork と呼ばれる新しいディレクトリを作成します。

    2. CachedConfigurationProvider.class<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork にコピーします。

    3. 以下のディレクトリの権限とオーナーシップが適切であることを確認します。

      <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

  8. Confluence を起動します。

Confluence をクラスタで実行している場合、上記の更新をすべてのノードで行うようにしてください。

この軽減策を適用するためにクラスタ全体をシャットダウンする必要はありません。 

 

 

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ