Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471 2023-12-06 日本語訳
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です)
目次
Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471
要約 | Atlassian 製品 SnakeYAML ライブラリの RCE 脆弱性 - CVE-2022-1471 |
---|---|
アドバイザリのリリース日 | Dec 6, 2023 午後 2時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2022-1471 |
Atlassian 社の不具合チケット |
脆弱性の説明
複数の Atlassian Data Center および Server 製品は、Java 用の SnakeYAML ライブラリを使用しており、RCE (リモートコード実行) につながる可能性があります。逆シリアル化で欠陥が発生する影響を受けやすくなります。
Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社のサイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の影響を受けません。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
影響を受けるバージョン
この RCE (リモートコード実行) 脆弱性は、以下の表にあるすべてのバージョンに影響します。
Atlassian 社は最新バージョンまたは修正済みの LTS バージョンへのバージョンアップを推奨しています。
製品 | 影響を受けるバージョン |
---|---|
Bitbucket Data Center and Server |
|
Confluence Data Center and Server |
|
Jira Core Data Center and Server Jira Software Data Center and Server |
|
Jira Service Management Data Center and Server |
|
アプリ
製品 | 影響を受けるバージョン |
---|---|
Automation for Jira (A4J) アプリ (Server 版の Lite edition を含む) |
|
Confluence Cloud Migration アプリ (CCMA) | 3.4.0より低いプラグインバージョン |
必要なアクション
対応策
Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、以下の修正済みバージョンにアップグレードすることを推奨しています。
製品 | 対応 |
---|---|
Bitbucket Data Center and Server | 以下の修正済みバージョンまたはそれ以降のバージョンにアップグレード
|