Atlassian Companion App for MacOS の RCE 脆弱性 - CVE-2023-22524 2023-12-06 日本語訳
この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2023年12月6日時点の情報です)
目次
Atlassian Companion App for MacOS の RCE 脆弱性 - CVE-2023-22524
要約 | Atlassian Companion App for MacOS の RCE 脆弱性 - CVE-2023-22524 |
---|---|
アドバイザリのリリース日 | Dec 6, 2023 午後 2時 (JST) |
対象製品 |
|
CVE ID(s) | CVE-2023-22524 |
Atlassian 社の不具合チケット |
脆弱性の説明
Atlassian Companion App for MacOS の 2.0.0 まで(2.0.0 は含まない)のすべてのバージョンには、リモートコード実行 (RCE) の脆弱性 CVE-2023-22524 が存在します。 攻撃者は WebSocket を利用して、Atlassian Companion のブロックリストと MacOS Gatekeeper を迂回し、コードを実行される可能性があります。
Atlassian Companion アプリは、Confluence Data Center and Server でのファイル編集を強化するためにクライアントのデバイスにインストールできるオプションのデスクトップアプリケーションです。Confluence インスタンスにファイルを自動的に保存する前に、ユーザーは選択したデスクトップアプリケーションでファイルを編集することができます。
深刻度
Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。
影響を受けるバージョン
この RCE 脆弱性は、Atlassian Companion App for MacOS のバージョン2.0.0 を除くすべてのバージョンに影響します。
製品 | 影響を受けるバージョン |
---|---|
Atlassian Companion App for MacOS | バージョン2.0.0 を除くすべてのバージョン |
必要なアクション
対応策
MacOS 用のAtlassian Companion App は、実行中に自動的にアップデートされます。Atlassian 社は、インストールされているバージョンが修正済みバージョンまたはそれ以降のバージョンであることを確認することをお勧めします。
修正済みバージョン
修正済みバージョンは Confluence Data Center および Server インスタンスと互換性がない可能性があります。Confluence バージョンの互換性についての詳細はこちらをご覧ください。
製品 | 修正済みバージョン |
---|---|
Atlassian Companion App for MacOS | 2.0.0 or later |
Confluence Data Center および Server をご利用でない場合は、Atlassian Companion App for MacOS をアンインストールしてください。
軽減策
Atlassian Companion App が修正済みバージョンでないがアップグレードが出来ない場合、Atlassian Companion App をアンインストールすることで、この脆弱性を完全に軽減することができます。
よくある質問 (FAQ)
よくある質問の詳細はCVE-2023-22524 の FAQでご覧になれます。
ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。