Confluence セキュリティ勧告 - 2021-08-25

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Confluence Server および Data Center - CVE-2021-26084 - Confluence Server Webwork OGNL injection


更新: この勧告は初回の公開時から更新されています。

更新内容には次のものが含まれます。

  • この脆弱性は現在、実際に悪用されています。
    影響を受けるサーバーにいますぐパッチを適用する必要があります。

  • この脆弱性は、構成内容にかかわらず、認証を行っていないユーザーによって悪用可能です。

  • Confluence Cloud を使用しているかどうかをお客様が識別する方法を明確にするための、軽微なテキスト変更

修正済みバージョンにアップグレード済みの場合は以降のアクションは不要です。

要約

CVE-2021-26084 - Confluence Server Webwork OGNL injection

勧告のリリース日

2021 年 8 月 25 日 午前 10 時 (太平洋標準時、UTC-7)

製品

  • Confluence Server

  • Confluence Data Center

Confluence Cloud のお客様は影響を受けません。

影響バージョン

  • すべての 4.x.x バージョン
  • すべての 5.x.x バージョン
  • すべての 6.0.x バージョン
  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • すべての 6.6.x バージョン 
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x バージョン
  • すべての 6.11.x バージョン
  • すべての 6.12.x バージョン 
  • 6.13.23 よりも前のすべての 6.13.x バージョン
  • すべての 6.14.x バージョン 
  • すべての 6.15.x バージョン 
  • すべての 7.0.x バージョン
  • すべての 7.1.x バージョン
  • すべての 7.2.x バージョン
  • すべての 7.3.x バージョン
  • 7.4.11 よりも前のすべての 7.4.x バージョン
  • すべての 7.5.x バージョン
  • すべての 7.6.x バージョン 
  • すべての 7.7.x バージョン
  • すべての 7.8.x バージョン
  • すべての 7.9.x バージョン
  • すべての 7.10.x バージョン
  • 7.11.6 よりも前のすべての 7.11.x バージョン
  • 7.12.5 よりも前のすべての 7.12.x バージョン

修正済みバージョン

  • 6.13.23
  • 7.4.11
  • 7.11.6
  • 7.12.5
  • 7.13.0

CVE ID

CVE-2021-26084

脆弱性の概要

この勧告は、クリティカルな重要度のセキュリティ脆弱性を開示しています。Confluence Server および Data Center の、バージョン 6.13.23 よりも前バージョン 6.14.0 から 7.4.11 の前バージョン 7.5.0 から 7.11.6 の前、およびバージョン 7.12.0 から 7.12.5 の前が、この脆弱性の影響を受けます。

Confluence Cloud サイトに影響はありません。

Confluence サイトへのアクセスが atlassian.net ドメイン経由の場合、そのサイトはアトラシアンがホストしており、脆弱性の影響を受けることはありません。

バージョン 6.13.23、7.11.6、7.12.5、7.13.0、または 7.4.11 にアップグレードしたお客様は影響を受けません。

"影響を受けるバージョン" セクションに記載されているバージョンをダウンロードおよびインストールしたお客様は、この脆弱性を修正するためにインストールを即座にアップグレードする必要があります。即座にアップグレードすることが難しい場合、アップグレードを計画する間は以降の回避策を適用してください。

CVE-2021-26084 - Confluence Server Webwork OGNL injection

深刻度

この脆弱性は現在、実際に悪用されています。
影響を受けるサーバーにいますぐパッチを適用する必要があります。

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

認証されていないユーザーが、Confluence Server または Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。 

上述の修正対象バージョンよりも前の、Confluence Server および Data Center のすべてのバージョンが、この脆弱性の影響を受けます。

この問題はこちらで追跡できます。 

CONFSERVER-67940 - 課題詳細を取得中... ステータス

謝辞

この問題は、Benny Jacob (SnowyOwl) が、アトラシアンの公開バグ報奨金プログラムで発見しました。

修正

弊社ではこの問題に対応するために次の対応を行いました。

  • この問題の修正を含む、バージョン 6.13.23、7.4.11、7.11.6、7.12.5、および 7.13.0 のリリース

必要なアクション

アトラシアンでは、最新の長期サポート リリースにアップグレードすることを推奨します。最新バージョンの完全な説明については、Confluence Server および Data Center のリリース ノートをご確認ください。最新バージョンはダウンロード センターからダウンロードできます。

影響を受けるバージョンを実行している場合、バージョン 7.13.0 (LTS) 以降にアップグレードします。

6.13.x バージョンを実行しているが 7.13.0 (LTS) にアップグレードできない場合はバージョン 6.13.23 にアップグレードします

7.4.x バージョンを実行しているが 7.13.0 (LTS) にアップグレードできない場合はバージョン 7.4.11 にアップグレードします

7.11.x バージョンを実行しているが 7.13.0 (LTS) にアップグレードできない場合はバージョン 7.11.6 にアップグレードします。

7.12.x バージョンを実行しているが 7.13.0 (LTS) にアップグレードできない場合はバージョン 7.12.5 にアップグレードします

問題の軽減策

Confluence を即座にアップグレードすることができない場合は一時的な回避策として、Confluence がホストされているオペレーション システムに対して次のスクリプトを実行することで、問題を軽減できます。

Linux ベースのオペレーション システムで実行されている Confluence Server または Data Center ノード

Confluence をクラスタで実行している場合は、この手順を各ノードで実行する必要があります。クラスタ全体をシャットダウンする必要はありません。 

  1. Confluence をシャットダウンします。 
     

  2. cve-2021-26084-update.sh を Confluence の Linux サーバーにダウンロードします。
     

  3. cve-2021-26084-update.sh ファイルを編集して INSTALLATION_DIRECTORY を Confluence のインストール ディレクトリに設定します。例: 

    INSTALLATION_DIRECTORY=/opt/atlassian/confluence
  4. ファイルを保存します。
     

  5. スクリプトに実行権限を付与します。

    chmod 700 cve-2021-26084-update.sh
  6. Confluence インストール ディレクトリのファイルを所有する Linux ユーザーに切り替えます。例:

    $ ls -l /opt/atlassian/confluence | grep bin
    drwxr-xr-x 3 root root 4096 Aug 18 17:07 bin
     
    # In this first example, we change to the 'root' user 
    # to run the workaround script
      
    $ sudo su root
    $ ls -l /opt/atlassian/confluence | grep bin
    drwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin
    
    # In this second example, we need to change to the 'confluence' user 
    # to run the workaround script
    
    $ sudo su confluence
  7. 回避策のスクリプトを実行します。

    $ ./cve-2021-26084-update.sh
  8. 期待される出力として、最大 5 つのファイルが更新され、次のように終了します。

    Update completed!

    更新されるファイルの数は、ご利用の Confluence バージョンに応じて異なります。
     

  9. Confluence を再起動します。

Confluence をクラスタで実行している場合、このスクリプトをすべてのノードで実行する必要があります。

Microsoft Windows ベースのオペレーション システムで実行されている Confluence Server または Data Center ノード

Confluence をクラスタで実行している場合は、この手順を各ノードで実行する必要があります。クラスタ全体をシャットダウンする必要はありません。 

  1. Confluence をシャットダウンします。
     

  2. cve-2021-26084-update.ps1 を Confluence の Windows Server にダウンロードします。
     

  3. cve-2021-26084-update.ps1 ファイルを編集して INSTALLATION_DIRECTORY を設定します。Set_Your_Confluence_Install_Dir_Here を Confluence のインストール ディレクトリで置き換えます。例:

    $INSTALLATION_DIRECTORY='C:\Program Files\Atlassian\Confluence'
  4. ファイルを保存します。
     

  5. Windows Powershell を開きます (管理者として実行)。
     

  6. PowerShell のデフォルトの制限つきの実行ポリシーを考慮し、次のコマンドを正確に使って PowerShell を実行します。

    Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile -
  7. 期待される出力として、最大 5 つのファイルが更新され、エラーが発生せず (エラーは通常赤色で表示されます)、次のように終わります。

    Update completed!

    更新されるファイルの数は、ご利用の Confluence バージョンに応じて異なります。
     

  8. Confluence を再起動します。

Confluence をクラスタで実行している場合、このスクリプトをすべてのノードで実行する必要があります。


サポート

このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

参考

セキュリティ バグの修正ポリシー

アトラシアンのポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。ポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベル

アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。

サポート終了ポリシー

 サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 



最終更新日 2021 年 9 月 7 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.