Confluence Data Center/Server における不適切な認証の脆弱性 CVE-2023-22518 2023-10-31 日本語訳
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年11月4日時点の情報です)
目次
- 1 Confluence Data Center/Server における不適切な認証の脆弱性 CVE-2023-22518
- 2 脆弱性の概要
- 2.1 深刻度
- 2.2 影響を受けるバージョン
- 3 必要なアクション
- 3.1 対応策
- 3.1.1 修正済みバージョン
- 3.2 軽減策
- 3.2.1 1.Confluence インスタンスのバックアップを取得する
- 3.2.2 2.外部ネットワークからの遮断
- 3.2.3 3.特定のエンドポイントからのアクセス拒否
- 3.1 対応策
- 4 脅威を検知するには
- 4.1 FAQ
Confluence Data Center/Server における不適切な認証の脆弱性 CVE-2023-22518
要約 | 不適切な認証の脆弱性 |
---|---|
アドバイザリのリリース日 | Oct 31, 2023 午後1時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2023-22518 |
Atlassian 社の不具合チケット |
脆弱性の概要
2023/11/3 の時点で複数の顧客から被害報告があります。
ただちに対応策か緩和策の実施をお願いします。
Atlassian 社は、公開されている Confluence Server/Data Center において 未認証の外部攻撃者が 脆弱性を悪用し、Confluece のデータを不正に破損できます。
攻撃者がインスタンスデータを流出させることはできないため、機密性への影響はありません。
この脆弱性は匿名で悪用できるため、公開されている Confluence Server/Data Center インスタンスは重大なリスクがあり、ただちに対応が必要です。
詳細な手順については「必要なアクション」を参照してください。
Confluence Cloud は本脆弱性の影響を受けません。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
影響を受けるバージョン
以下の「影響を受けるバージョン」に記載の通り、修正済みバージョンより前にリリースされたすべての Confluence Server/Data Center のバージョンが本脆弱性の影響を受けます。
これらのバージョンをご利用の方は、なるべく早く インスタンスを アップグレード するようにお願いします。