/
Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471 2023-12-06 日本語訳

Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471 2023-12-06 日本語訳

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です)

目次


Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471

要約

Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471

アドバイザリのリリース日

Dec 6, 2023 午後 2時 (JST)

対象製品

  • Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む)

  • Bitbucket Data Center and Server

  • Confluence Cloud Migration アプリ (CCMA)

  • Confluence Data Center and Server

  • Jira Core Data Center and Server

  • Jira Service Management Data Center and Server

  • Jira Software Data Center and Server

CVE ID(s)

CVE-2022-1471

Atlassian 社の不具合チケット

脆弱性の説明

複数の Atlassian Data Center および Server 製品は、Java 用の SnakeYAML ライブラリを使用しており、RCE (リモートコード実行) につながる可能性があります。逆シリアル化で欠陥が発生する影響を受けやすくなります。

Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社のサイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の影響を受けません。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は、以下の表にあるすべてのバージョンに影響します。

Atlassian 社は最新バージョンまたは修正済みの LTS バージョンへのバージョンアップを推奨しています。

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Bitbucket Data Center and Server

  • 7.17.x

  • 7.18.x

  • 7.19.x

  • 7.20.x

  • 7.21.0-7.21.15

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.x

  • 8.4.x

  • 8.5.x

  • 8.6.x

  • 8.7.x

  • 8.8.0 - 8.8.6

  • 8.9.0 - 8.9.3

  • 8.10.0 - 8.10.3

  • 8.11.0 - 8.11.2

  • 8.12.0

Confluence Data Center and Server

  • 6.13.x

  • 6.14.x

  • 6.15.x

  • 7.0.x

  • 7.1.x

  • 7.2.x

  • 7.3.x

  • 7.4.x

  • 7.5.x

  • 7.6.x

  • 7.7.x

  • 7.8.x

  • 7.9.x

  • 7.10.x

  • 7.11.x

  • 7.12.x

  • 7.13.0 - 7.13.17

  • 7.14.x

  • 7.15.x

  • 7.16.x

  • 7.17.x

  • 7.18.x

  • 7.19.0 - 7.19.9

  • 7.20.x

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.0

Jira Core Data Center and Server

Jira Software Data Center and Server

  • 9.4.0 - 9.4.12

  • 9.5.x

  • 9.6.x

  • 9.7.x

  • 9.8.x

  • 9.9.x

  • 9.10.x

  • 9.11.0 - 9.11.1

Jira Service Management Data Center and Server

  • 5.4.0 - 5.4.12

  • 5.5.x

  • 5.6.x

  • 5.7.x

  • 5.8.x

  • 5.9.x

  • 5.10.x

  • 5.11.0 - 5.11.1

アプリ

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む)

  • 9.0.1

  • 9.0.0

  • <= 8.2.2

Confluence Cloud Migration アプリ (CCMA)

3.4.0より低いプラグインバージョン

必要なアクション

対応策

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。

製品

対応

製品

対応

Bitbucket Data Center and Server

以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード

  • 7.21.16 (LTS)

  • 8.10.4

  • 8.11.3

  • 8.12.1

  • 8.13.0

  • 8.8.7