Confluence Data Center/Server RCE 脆弱性 CVE-2023-22522 2023-12-06 日本語訳

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です)

目次


Confluence Data Center/Server RCE 脆弱性 CVE-2023-22522

要約

Confluence Data Center/Server RCE 脆弱性 CVE-2023-22522

アドバイザリのリリース日

Dec 6, 2023 午後 2時 (JST)

対象製品

  • Confluence Data Center / Server

CVE ID(s)

CVE-2023-22522

Atlassian 社の不具合チケット

脆弱性の説明

このテンプレートインジェクションの脆弱性は、匿名アクセスを含む認証済みの攻撃者が、安全でないユーザ入力を Confluence ページに注入することを許容します。このアプローチを使用すると、攻撃者は影響を受けるインスタンス上で RCE(リモートコード実行) を達成することができます。

以下の Confluence Data Center / Server の影響を受けるバージョンはリスク下にあり、早急な対処が必要です。

Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の問題はありません。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は Confluence Data Center および Confluence Server の 4.0.0 以降のすべてのバージョンに影響します。Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Confluence Data Center / Server

  • ver 4.0.0 以降で、修正済みバージョン以降 でないバージョンすべて

Confluence Data Center

  • 8.6.0 - 8.6.1

必要なアクション

対応策

ただちに Confluence Data Center / Server を修正済みバージョンへアップグレードしてください。

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。

修正済みバージョン

製品

修正済みバージョン

製品

修正済みバージョン

Confluence Data Center / Server

  • 7.19.17 (LTS)

  • 8.4.5

  • 8.5.4 (LTS)

Confluence Data Center

  • 8.6.2 以降 (Data Center のみ)

  • 8.7.1 以降 (Data Center のみ)

軽減策

現時点では軽減策はございません。しかし、以下のことをおすすめします。

  • インスタンスのバックアップ本番環境バックアップ ストラテジー

  • アップグレードをするまで、インスタンスをインターネットから除外する。アップグレードをするまで、公共のインターネットにアクセス可能なインスタンス(ユーザー認証を含む)は、外部ネットワークからのアクセスを制限する必要があります。

注:インスタンスを公共のインターネットにリストアする前に、最新の修正済みバージョンを適用する必要があります。

FAQ

Atlassian 社が作成しました FAQの記事は以下をご参照ください。

 

ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。


Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ