Confluence Server and Data Center - Critical severity unauthenticated remote code execution vulnerability (CVE-2022-26134) 2022-06-02 日本語訳
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2022年6月13日時点の情報です)
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Jira Server and Data Center - 未認証のリモート コード実行 (CVE-2022-26134)
要約 | CVE-2022-26134- 未認証のリモート コード実行についての重大な深刻度の脆弱性 |
---|---|
アドバイザリのリリース日 | Jun 3, 2022 午前 5時 (JST) |
対象製品 |
|
影響を受けるバージョン | Confluence Server および Data Center のすべてのサポート対象バージョンが影響を受けます。
|
修正されたバージョン |
|
CVE ID(s) |
|
脆弱性の説明
深刻度
アトラシアン社は アトラシアンの深刻度レベル で公開されている尺度に従って、この脆弱性の深刻度レベルを重大として評価しています。
脆弱性の詳細
アトラシアン社より、Confluence Data Center および Server における、重大な深刻度を持つ未認証のリモート コード実行の脆弱性が発表されました。認証されていないユーザーが、Confluence Server および Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。
上述の修正されたバージョンよりも前の、Confluence Server および Data Center のすべてのバージョンが、この脆弱性の影響を受けます。
この問題はこちらで追跡できます。 https://jira.atlassian.com/browse/CONFSERVER-79016
Confluence Cloud は本脆弱性の影響を受けません。
脆弱性の対応について
対応策
アトラシアン社では、本脆弱性の対応するために、この問題の修正を含むバージョン(7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 および 7.18.1 )をリリースしました。
修正バージョンへ Confluence をアップグレードするようにお願いします。
最新バージョンに関する説明については、Confluence Server および Data Center のリリース ノートをご確認ください。最新バージョンはダウンロード センターからダウンロードできます。
Confluence をクラスタで実行している場合、ダウンタイムなしで修正済みバージョンにアップグレードする (ローリング アップグレード) ことはできません。「Confluence Data Center のアップグレード」の手順でアップグレードをお願いします。
緩和策
Confluence をすぐにアップグレードすることができない場合、一時的な回避策として、製品のバージョンに合わせて次のファイルを更新することで CVE-2022-26134 の問題を軽減できます。
Confluence 7.15.0 - 7.18.0 の場合
Confluence をシャットダウンします。
次のファイルを Confluence のサーバーにダウンロードします。
次の JAR ファイルを削除するか、Confluence のインストール ディレクトリの外部に移動します。
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
この古い JAR のコピーをこのディレクトリに残さないでください。
ダウンロードした xwork-1.0.3-atlassian-10.jar を
<confluence-install>/confluence/WEB-INF/lib/
にコピーします。新しい xwork-1.0.3-atlassian-10.jar ファイルの権限とオーナーシップが同じディレクトリ内の既存のファイルに一致することを確認します。
Confluence を起動します。
Confluence をクラスタで実行している場合、上記の更新をすべてのノードで行うようにしてください。
この軽減策を適用するためにクラスタ全体をシャットダウンする必要はありません。
Confluence 6.0.0 - Confluence 7.14.2 の場合
Confluence をシャットダウンします。
次の 3 つのファイルを Confluence のサーバーにダウンロードします。
次の JAR ファイルを削除するか、Confluence のインストール ディレクトリの外部に移動します。