Confluence セキュリティ勧告 - 2022-06-02
Confluence Server および Data Center - CVE-2022-26134 -未認証のリモート コード実行についての重大な深刻度の脆弱性
更新: この勧告は初回の公開時から更新されています。
更新内容には次のものが含まれます。
3 PM PDT (太平洋標準時、ー7 時間)
- 軽減策セクションに Confluence バージョン 6.0.0 以降用の手順を追加
4 PM PDT (太平洋標準時、ー7 時間)
- 必要なアクション セクションに、ローリング アップグレード時の制限を追加
10 AM PDT (太平洋標準時、-7 時間)
- 修正済みバージョンを追加
必要なアクション セクションに記載していた、WAF ルールの追加についての一時的な推奨を削除
8 AM PDT (太平洋標準時、-7 時間)
軽減策の情報を更新し、jar と class ファイルの置き換えを追加
影響を受けるバージョンの明示
必要なアクション セクションに WAF ルールを追加
- 修正が提供される見込み時間を追加
要約 | CVE-2022-26134 - Confluence Server と Data Center における未認証のリモート コード実行についての重大な深刻度の脆弱性 |
---|---|
勧告のリリース日 | 1 PM PDT (太平洋標準時、ー7 時間) |
影響を受ける製品 |
|
影響を受けるバージョン |
|
修正済みバージョン |
|
CVE ID | CVE-2022-26134 |
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
説明
アトラシアンでは、Confluence Data Center と Server における、重大な深刻度を持つ未認証のリモート コード実行の脆弱性を把握しています。認証されていないユーザーが、Confluence Server または Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。
上述の修正対象バージョンよりも前の、Confluence Server および Data Center のすべてのバージョンが、この脆弱性の影響を受けます。
この問題はこちらで追跡できます。
- CONFSERVER-79016課題詳細を取得中... ステータス
Atlassian Cloud サイトは保護されています
ご利用の Confluence サイトが atlassian.net ドメイン経由でアクセスしているものの場合、それはアトラシアンがホストしているもので脆弱性を持ちません。当社の調査では、Atlassian Cloud での脆弱性を示す証拠は見つかっていません。
修正
弊社ではこの問題に対応するために次の対応を行いました。
この問題の修正を含むバージョン 7.4.17、7.13.7、7.14.3、7.15.2、7.16.4、7.17.4 および 7.18.1 のリリース
必要なアクション
アトラシアンでは、最新の長期サポート リリースにアップグレードすることを推奨します。最新バージョンの完全な説明については、Confluence Server および Data Center のリリース ノートをご確認ください。最新バージョンはダウンロード センターからダウンロードできます。
注: Confluence をクラスタで実行している場合、ダウンタイムなしで修正済みバージョンにアップグレードする (ローリング アップグレード) ことはできません。「Confluence Data Center のアップグレード」の手順に従ってください。
問題の軽減策
Confluence をすぐにアップグレードすることができない場合、一時的な回避策として、製品のバージョンに合わせて次のファイルを更新することで CVE-2022-26134 の問題を軽減できます。
Confluence 7.15.0 - 7.18.0
Confluence をクラスタで実行している場合は、この手順を各ノードで実行する必要があります。この軽減策を適用するためにクラスタ全体をシャットダウンする必要はありません。
Confluence をシャットダウンします。
次のファイルを Confluence のサーバーにダウンロードします。
次の JAR ファイルを削除するか、Confluence のインストール ディレクトリの外部に移動します。
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
この古い JAR のコピーをこのディレクトリに残さないでください。
ダウンロードした xwork-1.0.3-atlassian-10.jar を
<confluence-install>/confluence/WEB-INF/lib/
にコピーします。
新しい xwork-1.0.3-atlassian-10.jar ファイルの権限とオーナーシップが同じディレクトリ内の既存のファイルに一致することを確認します。
Confluence を起動します。
注意: Confluence をクラスタで実行している場合、上記の更新をすべてのノードで行うようにしてください。
Confluence 6.0.0 - Confluence 7.14.2
Confluence をクラスタで実行している場合は、この手順を各ノードで実行する必要があります。この軽減策を適用するためにクラスタ全体をシャットダウンする必要はありません。
Confluence をシャットダウンします。
次の 3 つのファイルを Confluence のサーバーにダウンロードします。
次の JAR ファイルを削除するか、Confluence のインストール ディレクトリの外部に移動します。
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
これらの古い JAR のコピーをこのディレクトリに残さないでください。
- ダウンロードした xwork-1.0.3-atlassian-10.jar を
<confluence-install>/confluence/WEB-INF/lib/
にコピーします。
ダウンロードした webwork-2.1.5-atlassian-4.jar を
<confluence-install>/confluence/WEB-INF/lib/
にコピーします。
両方の新しいファイルについて、権限とオーナーシップが同じディレクトリ内の既存のファイルに一致することを確認します。
ディレクトリを
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
に切り替えます。
webwork
と呼ばれる新しいディレクトリを作成します。CachedConfigurationProvider.class を
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
にコピーします。次の対象で、権限とオーナーシップが適切であることを確認します。
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
Confluence を起動します。
注意: Confluence をクラスタで実行している場合、上記の更新をすべてのノードで行うようにしてください。
注意: Confluence のサポート終了バージョンでは、回避策の完全なテストは行われていません。
Confluence の修正済みバージョンにはほかにも複数のセキュリティ修正が含まれているため、Confluence の修正済みバージョンにアップグレードすることを強く推奨します。
謝辞
この脆弱性を特定した Volexity に感謝を申し上げます。
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。
参考
アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |