Confluence Server & Confluence Data Center Security Advisory 2021-08-25 日本語訳

Owned by Hanayo Minamisawa [Ricksoft]
Last updated: 2022/01/29
2 min read

Atlassian 社のセキュリティアドバイザリ

本脆弱性の対応策(修正バージョンへのアップグレードもしくは緩和策のスクリプト実行)の実施を強く推奨します。

本脆弱性は設定に依存せず、認証されていないユーザーによって悪用される可能性があります。

(2021/9/8 時点)Atlassian 社が公開している Windows 環境向けの緩和策スクリプトに不備があります。

詳細は Microsoft Windows オペレーションシステムで Confluence Server / Confluence Data Center を実行している場合 をご確認ください。 


Confluence Server および Confluence Data Center -  OGNLインジェクション (CVE-2021-26084)

要約

CVE-2021-26084  -  Confluence Server Webwork OGNL injection

アドバイザリのリリース日

 午前10時 (PDT)

対象製品

  • Confluence Server

  • Confluence Data Center

Confluence Cloud のお客様は影響を受けません。

影響するバージョン

  • すべての 4.x.x / 5.x.x バージョン

  • すべての 6.0.x - 6.12.x バージョン

  • 6.13.0 - 6.13.22 バージョン

  • すべての 6.14.x - 6.15.x バージョン

  • すべての 7.0.x -7.3.x バージョン
  • 7.4.0 - 7.4.10 バージョン

  • すべての 7.5.x - 7.10.x バージョン

  • 7.11.0 - 7.11.5 バージョン
  • 7.12.0 - 7.12.4 バージョン
修正済みのバージョン

  • 6.13.23

  • 7.4.11

  • 7.11.6

  • 7.12.5

  • 7.13.0

CVE ID(s)


脆弱性の概要

このアドバイザリでは、Confluence Server / Confluence Data Center における重大なセキュリティ脆弱性について発表します。
影響を受ける Confluence Server およびConfluence Data Center のバージョンは、上記の表に記載されています (「影響するバージョン」を参照)。

Confluence Cloud は、このページに記載されている脆弱性の影響を受けません。

バージョン 6.13.23、7.11.6、7.12.5、7.13.0、または 7.4.11 にアップグレードしたお客様は影響を受けません。

上記の「影響するバージョン」をダウンロード・インストールしているお客様については、この脆弱性を修正するために、Confluence Server / Confluence Data Center をただちにアップグレードしてください。
即座に行うことが難しい場合や、アップグレード計画中の場合は、以降に記載している緩和策を適用してください。

重大度

アトラシアンでは、セキュリティ問題の深刻度 に公開されている基準に従い、この脆弱性の重大度レベルを クリティカル (重大) と評価しています。この評価は、重大、高、中、低 の段階でランク付けします。

これは Atlassian 社の評価であり、実際の影響はお客さまの環境において調査していただく必要があります。

脆弱性の説明

認証されていないユーザー が、Confluence Server または Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。

上述の修正済みバージョンよりも前のすべての Confluence Server および Confluence Data Center がこの脆弱性の影響を受けます。

この脆弱性は右記の課題で追跡できます。https://jira.atlassian.com/browse/CONFSERVER-67940

修正

この問題を受けて次の対応を行っています。

  • この問題の修正を含む、バージョン6.13.23、7.4.11、7.11.6、7.12.5、および 7.13.0 のリリース

これらのバージョンは以下のサイトでダウンロードできます。

あなたがすべきこと

アトラシアンでは、最新の長期サポートリリース(以降 LTS)にアップグレードすることを推奨します。最新バージョンの詳細については Confluence Server および Data Center のリリースノート をご確認ください。最新バージョンはダウンロードセンターからダウンロードできます。


影響を受けるバージョンを実行している場合、バージョン7.13.0 (LTS) 以降にアップグレードします。

  • 6.13.x バージョンを利用していて 7.13.0 (LTS)  にアップグレードできない場合は、バージョン 6.13.23へアップグレードします。
  • 7.4.x バージョンを実行していて 7.13.0 (LTS) にアップグレードできない場合は、バージョン 7.4.11へアップグレードします。
  • 7.11.x バージョンを実行していて 7.13.0 (LTS) にアップグレードできない場合は、バージョン 7.11.6へアップグレードします。
  • 7.12.x バージョンを実行していて 7.13.0 (LTS) にアップグレードできない場合は、バージョン 7.12.5へアップグレードします。

緩和策

Confluence を即座にアップグレードすることができない場合、一時的な回避策 として、Confluence がホストされているオペレーティングシステムに対して、次のスクリプトを実行することで問題を軽減できます。

Linux ベースのオペレーションシステムで Confluence Server / Confluence Data Center を実行している場合


Confluence をクラスタで実行している場合、このスクリプトをすべてのノードで実行するようにお願いします。

  1. Confluence サービスをシャットダウンします。

  2. Confluence の Linux サーバーに cve-2021-26084-update.sh をダウンロードします。

  3. cve-2021-26084-update.sh ファイルを編集し、INSTALLATION_DIRECTORY を Confluence のインストールディレクトリに設定します。
    例: 

    INSTALLATION_DIRECTORY=/opt/atlassian/confluence

  4. ファイルを保存します。

  5. スクリプトに実行権限を付与します。

    chmod 700 cve-2021-26084-update.sh

  6. Confluence のインストールディレクトリのファイルを所有する Linux ユーザーに切り替えます。
    例:

    $ ls -l /opt/atlassian/confluence | grep bin
drwxr-xr-x  3 root       root   4096 Aug 18 17:07 bin
 
# 最初の例では、緩和策のスクリプトを実行するために root ユーザーへ切り替えます。
$ sudo su root
 
 
$ ls -l /opt/atlassian/confluence | grep bin
drwxr-xr-x  3 confluence    confluence   4096 Aug 18 17:07 bin
 
# 2つ目の例では、緩和策のスクリプトを実行するために confluence ユーザーへ切り替えます。 
$ sudo su confluence

  7. 回避策のスクリプトを実行します。

    $ ./cve-2021-26084-update.sh

  8. 最大5つのファイルが更新され、次のメッセージが表示されて終了します。 

    Update completed!

    更新されるファイルの数はご利用の Confluence バージョンに応じて異なります。


  9. Confluence サービスを起動します。

Microsoft Windows オペレーションシステムで Confluence Server / Confluence Data Center を実行している場合 


Atlassian社 が公開している Windows 環境向けの緩和策スクリプト cve-2021-26084-update.ps1 に不備があります。(2021/9/8時点)
不備のあるスクリプトを実行後にページテンプレート機能が利用できなくなる不具合が発生します。

既に不備のある緩和策スクリプトを実行した方は、「2.既に緩和策スクリプトを実施している場合」の手順で再度スクリプトの実行をお願いします。
これから初めて緩和策スクリプトを実行する方は、「1.緩和策スクリプトを未実施の場合」の手順をご参照ください。

Confluence をクラスタで実行している場合、このスクリプトをすべてのノードで実行するようにお願いします。

1.緩和策スクリプトを未実施の場合

  1. Confluence サービスをシャットダウンします。

  2. Confluence の Windows Server に cve-2021-26084-update.ps1 をダウンロードします。

  3. cve-2021-26084-update.ps1 ファイルを編集し、スクリプト 12行目の INSTALLATION_DIRECTORY を設定します。Set_Your_Confluence_Install_Dir_Here を Confluenceの インストールディレクトリに置き換えます。

    :

    $INSTALLATION_DIRECTORY='C:\Program Files\Atlassian\Confluence'

  4. つづけて cve-2021-26084-update.ps1 ファイルの72行目を変更前から変更後へ変更します。

    変更前
    (Get-Content -path "confluence\pages\createpage-entervariables.vm") -Replace '("Hidden" "name=.([a-zA-Z]+)." "value=).\$[!l][^"]+', '$1$2"' | Out-File confluence\pages\createpage-entervariables.vm.dos
    変更後
    (Get-Content -path "confluence\pages\createpage-entervariables.vm") -Replace '("Hidden" "name=.([a-zA-Z]+)." "value=).\$[!l][^"]+"', '$1$2"' | Out-File confluence\pages\createpage-entervariables.vm.dos

  5. ファイルを保存します。

  6. Windows PowerShell を開きます (管理者として実行)。

  7. PowerShell のデフォルトの制限実行ポリシーを考慮し、次のコマンドをそのまま使用して PowerShell を実行します。

    Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile -

  8. 最大5つのファイルが更新され、エラーが発生しない場合は (エラーは通常赤色で表示されます)、次のメッセージが表示されて終了します。

    Update completed!

    更新されるファイルの数はご利用の Confluence バージョンに応じて異なります。

  9. Confluence サービスを起動します。


2.既に緩和策スクリプトを実施している場合

  1. Confluence サービスをシャットダウンします。

  2. Confluence の Windows Server に cve-2021-26084-update.ps1 をダウンロードします。

  3. cve-2021-26084-update.ps1 ファイルを編集し、スクリプト 12行目の INSTALLATION_DIRECTORY を設定します。Set_Your_Confluence_Install_Dir_Here を Confluenceの インストールディレクトリに置き換えます。

    :

    $INSTALLATION_DIRECTORY='C:\Program Files\Atlassian\Confluence'

  4. つづけて cve-2021-26084-update.ps1 ファイルの72行目を変更前から変更後へ変更します。

    変更前
    (Get-Content -path "confluence\pages\createpage-entervariables.vm") -Replace '("Hidden" "name=.([a-zA-Z]+)." "value=).\$[!l][^"]+', '$1$2"' | Out-File confluence\pages\createpage-entervariables.vm.dos
    変更後
    (Get-Content -path "confluence\pages\createpage-entervariables.vm") -Replace '("Hidden" "name=.([a-zA-Z]+)." "value=).\$[!l][^"]+"', '$1$2"' | Out-File confluence\pages\createpage-entervariables.vm.dos

  5. ファイルを保存します。

  6. createpage-entervariables.vm ファイルを 緩和スクリプト実行前の状態へ戻します。
    具体的には、<confluence-install>\confluence\pages\createpage-entervariables.vm を別場所へ退避、もしくは削除し、<confluence-install>confluence\pages\createpage-entervariables.vm.original のファイル名から「.original」を削除し、createpage-entervariables.vm へリネームします。

  7. Windows PowerShell を開きます (管理者として実行)。

  8. PowerShell のデフォルトの制限実行ポリシーを考慮し、次のコマンドをそのまま使用して PowerShell を実行します。

    Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile -

  9. 最大5つのファイルが更新され、エラーが発生しない場合は (エラーは通常赤色で表示されます)、次のメッセージが表示されて終了します。

    Update completed!

    更新されるファイルの数はご利用の Confluence バージョンに応じて異なります。

  10. Confluence サービスを起動します。





リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ