Confluence Data Center/Server RCE 脆弱性 CVE-2023-22527 2024-01-16 日本語訳

この記事は Atlassian 社のセキュリティアドバイザリや Atlassian 社への問合せ回答の情報を元に作成したものです。(2024年1月16日時点の情報です)

目次


Confluence Data Center/Server RCE 脆弱性 CVE-2023-22527

要約

Confluence Data Center/Server RCE 脆弱性 CVE-2023-22527

アドバイザリのリリース日

Jan 16, 2024 午後 3時 (JST)

対象製品

  • Confluence Data Center/Server

CVE ID(s)

CVE-2023-22527

Atlassian 社の不具合チケット

脆弱性の説明

このテンプレートインジェクションの脆弱性は、 認証していない攻撃者が影響を受けるバージョン上で RCE (リモートコード実行) を達成できます。影響を受けるバージョンの Confluence Data Center/Server を使用している場合は早急に対処する必要があります。

以下の「影響を受けるバージョン」の Confluence Data Center/Server はリスク下にあり、早急な対処が必要です。

Atlassian Cloud サイトはこの脆弱性の影響を受けません。御社の Confluence サイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトは Atlassian 社がホストしており、この脆弱性の問題はありません。

深刻度

Atlassian 社は、セキュリティ問題の深刻度 を元に本脆弱性の深刻度を 重大 (Critical) と評価しています。

影響を受けるバージョン

この RCE (リモートコード実行) 脆弱性は Confluence Data Center/Server の 2023年12月5日 以前にリリースされたすべての ver.8.x に影響します。Atlassian 社の セキュリティーバグ修正ポリシーに従ってバックポートされた修正を対応しない ver.8.4.5 も同様です。

Atlassian 社は最新バージョンまたは修正された LTS バージョンへのアップグレードを推奨しています。

製品

影響を受けるバージョン

製品

影響を受けるバージョン

Confluence Data Center/Server

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.x

  • 8.4.x

  • 8.5.0-8.5.3

必要なアクション

対応策

ただちに Confluence Server/Data Center を修正済みバージョンへアップグレードしてください。

Atlassian 社は、影響を受けるバージョンを利用のインスタンスに対して、最新バージョンまたは以下の修正済みバージョンのいずれかにバージョンアップすることを推奨しています。

修正済みバージョン

製品

修正済みバージョン

最新バージョン

製品

修正済みバージョン

最新バージョン

Confluence Data Center

  • 8.5.4 (LTS)

  • 8.6.0 

  • 8.7.1 

  • 8.5.5 (LTS)

  • 8.7.2

Confluence Server

  • 8.5.4 (LTS)

  • 8.5.5 (LTS)

緩和策

緩和策はないため、本脆弱性を修正するには、製品を修正済みバージョンか最新バージョンへアップデートしてください。

FAQ

Atlassian 社が作成しました FAQ 記事は以下をご参照ください。

 

ご不明点は ヘルプデスク (要サポートサービス契約)までお問い合わせください。
サポートサービスの新規ご契約は お問い合わせフォーム にご連絡ください。

 

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。


Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ