Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471 2023-12-06 日本語訳

Owned by Hanayo Minamisawa [Ricksoft]
Last updated: 2023/12/07
2 min read

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です)

目次

Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471

要約

Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471

アドバイザリのリリース日

Dec 6, 2023 午後 2時 (JST)

対象製品

  • Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む)

  • Bitbucket Data Center and Server

  • Confluence Cloud Migration アプリ (CCMA)

  • Confluence Data Center and Server

  • Jira Core Data Center and Server

  • Jira Service Management Data Center and Server

  • Jira Software Data Center and Server

CVE ID(s)

CVE-2022-1471

Atlassian 社の不具合チケット

脆弱性の説明

複数の Atlassian Data Center および Server 製品は、Java 用の SnakeYAML ライブラリを使用しており、RCE (リモートコード実行) につながる可能性があります。逆シリアル化で欠陥が発生する影響を受けやすくなります。

Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社のサイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の影響を受けません。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は、以下の表にあるすべてのバージョンに影響します。

Atlassian 社は最新バージョンまたは修正済みの LTS バージョンへのバージョンアップを推奨しています。

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Bitbucket Data Center and Server

  • 7.17.x

  • 7.18.x

  • 7.19.x

  • 7.20.x

  • 7.21.0-7.21.15

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.x

  • 8.4.x

  • 8.5.x

  • 8.6.x

  • 8.7.x

  • 8.8.0 - 8.8.6

  • 8.9.0 - 8.9.3

  • 8.10.0 - 8.10.3

  • 8.11.0 - 8.11.2

  • 8.12.0

Confluence Data Center and Server

  • 6.13.x

  • 6.14.x

  • 6.15.x

  • 7.0.x

  • 7.1.x

  • 7.2.x

  • 7.3.x

  • 7.4.x

  • 7.5.x

  • 7.6.x

  • 7.7.x

  • 7.8.x

  • 7.9.x

  • 7.10.x

  • 7.11.x

  • 7.12.x

  • 7.13.0 - 7.13.17

  • 7.14.x

  • 7.15.x

  • 7.16.x

  • 7.17.x

  • 7.18.x

  • 7.19.0 - 7.19.9

  • 7.20.x

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.0

Jira Core Data Center and Server

Jira Software Data Center and Server

  • 9.4.0 - 9.4.12

  • 9.5.x

  • 9.6.x

  • 9.7.x

  • 9.8.x

  • 9.9.x

  • 9.10.x

  • 9.11.0 - 9.11.1

Jira Service Management Data Center and Server

  • 5.4.0 - 5.4.12

  • 5.5.x

  • 5.6.x

  • 5.7.x

  • 5.8.x

  • 5.9.x

  • 5.10.x

  • 5.11.0 - 5.11.1

アプリ

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む)

  • 9.0.1

  • 9.0.0

  • <= 8.2.2

Confluence Cloud Migration アプリ (CCMA)

3.4.0より低いプラグインバージョン

必要なアクション

対応策

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。

製品

対応

製品

対応

Bitbucket Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 7.21.16 (LTS)

  • 8.10.4

  • 8.11.3

  • 8.12.1

  • 8.13.0

  • 8.8.7

  • 8.9.4 (LTS)

軽減策

この脆弱性に軽減策はございません。直ちにアップグレードをしてください。

Confluence Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 7.19.17 (LTS)

  • 8.4.5

  • 8.5.4 (LTS)

  • 8.6.2

  • 8.7.0

以下のバージョンでも修正されています

この修正は 7.13.18、7.19.10、8.3.1 に含まれていますが、これらのバージョンには以前に報告されたセキュリティの脆弱性が含まれています。

軽減策

この脆弱性に軽減策はございません。直ちにアップグレードをしてください。

Jira Core Data Center and Server

Jira Software Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 9.11.2

  • 9.12.0 (LTS)

  • 9.4.14 (LTS)

軽減策

製品インスタンスを修正済みバージョンにアップグレードできない場合は、ユニバーサル・プラグイン・マネジャー (UPM) 経由で Automation for Jira (A4J) アプリを修正済みバージョンにアップグレードすることで、この脆弱性を完全に緩和することができます。

Jira Service Management Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 5.11.2

  • 5.12.0 (LTS)

  • 5.4.14 (LTS)

Jira の修正済みバージョンへのアップグレードも併せて必要です。

軽減策

製品インスタンスを修正済みバージョンにアップグレードできない場合は、ユニバーサル・プラグイン・マネジャー (UPM) 経由で Automation for Jira (A4J) アプリを修正済みバージョンにアップグレードすることで、この脆弱性を完全に緩和することができます。

アプリ

製品

対応

製品

対応

Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む)

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 9.0.2

  • 8.2.4

軽減策

ユニバーサル・プラグイン・マネージャー(UPM)経由でアップグレードしてください。

Confluence Cloud Migration アプリ (CCMA)

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 3.4.0

軽減策

この脆弱性に軽減策はございません。直ちにアップグレードをしてください。

FAQ

Atlassian 社が作成しました FAQの記事は以下をご参照ください。

 

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ