Confluence セキュリティ勧告 - 2021-08-25
Confluence Server および Data Center - CVE-2021-26084 - Confluence Server Webwork OGNL injection
更新: この勧告は初回の公開時から更新されています。
更新内容には次のものが含まれます。
この脆弱性は現在、実際に悪用されています。
影響を受けるサーバーにいますぐパッチを適用する必要があります。この脆弱性は、構成内容にかかわらず、認証を行っていないユーザーによって悪用可能です。
- Confluence Cloud を使用しているかどうかをお客様が識別する方法を明確にするための、軽微なテキスト変更
修正済みバージョンにアップグレード済みの場合は以降のアクションは不要です。
要約 | CVE-2021-26084 - Confluence Server Webwork OGNL injection |
|---|---|
勧告のリリース日 | 2021 年 8 月 25 日 午前 10 時 (太平洋標準時、UTC-7) |
製品 |
Confluence Cloud のお客様は影響を受けません。 |
影響バージョン |
|
修正済みバージョン |
|
CVE ID | CVE-2021-26084 |
脆弱性の概要
この勧告は、クリティカルな重要度のセキュリティ脆弱性を開示しています。Confluence Server および Data Center の、バージョン 6.13.23 よりも前、バージョン 6.14.0 から 7.4.11 の前、バージョン 7.5.0 から 7.11.6 の前、およびバージョン 7.12.0 から 7.12.5 の前が、この脆弱性の影響を受けます。
Confluence Cloud サイトに影響はありません。
Confluence サイトへのアクセスが atlassian.net ドメイン経由の場合、そのサイトはアトラシアンがホストしており、脆弱性の影響を受けることはありません。
バージョン 6.13.23、7.11.6、7.12.5、7.13.0、または 7.4.11 にアップグレードしたお客様は影響を受けません。
"影響を受けるバージョン" セクションに記載されているバージョンをダウンロードおよびインストールしたお客様は、この脆弱性を修正するためにインストールを即座にアップグレードする必要があります。即座にアップグレードすることが難しい場合、アップグレードを計画する間は以降の回避策を適用してください。
CVE-2021-26084 - Confluence Server Webwork OGNL injection
深刻度
この脆弱性は現在、実際に悪用されています。
影響を受けるサーバーにいますぐパッチを適用する必要があります。
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
説明
認証されていないユーザーが、Confluence Server または Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。
上述の修正対象バージョンよりも前の、Confluence Server および Data Center のすべてのバージョンが、この脆弱性の影響を受けます。
この問題はこちらで追跡できます。
CONFSERVER-67940 - Getting issue details... STATUS
謝辞
この問題は、Benny Jacob (SnowyOwl) が、アトラシアンの公開バグ報奨金プログラムで発見しました。
修正
弊社ではこの問題に対応するために次の対応を行いました。
この問題の修正を含む、バージョン 6.13.23、7.4.11、7.11.6、7.12.5、および 7.13.0 のリリース
必要なアクション
アトラシアンでは、最新の長期サポート リリースにアップグレードすることを推奨します。最新バージョンの完全な説明については、Confluence Server および Data Center のリリース ノートをご確認ください。最新バージョンはダウンロード センターからダウンロードできます。
影響を受けるバージョンを実行している場合、バージョン 7.13.0 (LTS) 以降にアップグレードします。
6.13.x バージョンを実行しているが 7.13.0 (LTS) にアップグレードできない場合はバージョン 6.13.23 にアップグレードします。
7.4.x バージョンを実行しているが 7.13.0 (LTS) にアップグレードできない場合はバージョン 7.4.11 にアップグレードします。
7.11.x バージョンを実行しているが 7.13.0 (LTS) にアップグレードできない場合はバージョン 7.11.6 にアップグレードします。
7.12.x バージョンを実行しているが 7.13.0 (LTS) にアップグレードできない場合はバージョン 7.12.5 にアップグレードします。
問題の軽減策
Confluence を即座にアップグレードすることができない場合は一時的な回避策として、Confluence がホストされているオペレーション システムに対して次のスクリプトを実行することで、問題を軽減できます。
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
アトラシアンのポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。ポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |