Confluence Data Center/Server RCE 脆弱性 CVE-2023-22522 2023-12-06 日本語訳
- Hanayo Minamisawa [Ricksoft]
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です)
目次
Confluence Data Center/Server RCE 脆弱性 CVE-2023-22522
要約 | Confluence Data Center/Server RCE 脆弱性 CVE-2023-22522 |
|---|---|
アドバイザリのリリース日 | Dec 6, 2023 午後 2時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2023-22522 |
Atlassian 社の不具合チケット |
脆弱性の説明
このテンプレートインジェクションの脆弱性は、匿名アクセスを含む認証済みの攻撃者が、安全でないユーザ入力を Confluence ページに注入することを許容します。このアプローチを使用すると、攻撃者は影響を受けるインスタンス上で RCE(リモートコード実行) を達成することができます。
以下の Confluence Data Center / Server の影響を受けるバージョンはリスク下にあり、早急な対処が必要です。
Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の問題はありません。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
影響を受けるバージョン
この RCE (リモートコード実行) 脆弱性は Confluence Data Center および Confluence Server の 4.0.0 以降のすべてのバージョンに影響します。Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。
製品 | 影響を受けるバージョン |
|---|---|
Confluence Data Center / Server |
|
Confluence Data Center |
|
必要なアクション
対応策
ただちに Confluence Data Center / Server を修正済みバージョンへアップグレードしてください。
Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。
修正済みバージョン
製品 | 修正済みバージョン |
|---|---|
Confluence Data Center / Server |
|
Confluence Data Center |
|
軽減策
現時点では軽減策はございません。しかし、以下のことをおすすめします。
インスタンスのバックアップ(本番環境バックアップ ストラテジー)
アップグレードをするまで、インスタンスをインターネットから除外する。アップグレードをするまで、公共のインターネットにアクセス可能なインスタンス(ユーザー認証を含む)は、外部ネットワークからのアクセスを制限する必要があります。
注:インスタンスを公共のインターネットにリストアする前に、最新の修正済みバージョンを適用する必要があります。
FAQ
Atlassian 社が作成しました FAQの記事は以下をご参照ください。
ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ