Questions for Confluence のセキュリティ勧告 2022-07-20
更新: このアドバイザリは初回の公開時から更新されています。
午後 12:00 PDT (太平洋標準時、-7 時間)
- 修正セクションを更新し、
disabledsystemuserアカウントの手動削除時にはアカウントが再作成されないようアプリの更新またはアンインストールが必要な旨を記載しました。
11:00 AM PDT (太平洋標準時、-7 時間)
- 脆弱性の概要セクションを更新し、
dontdeletethisuser@email.comアカウントのメール サービス プロバイダーによってアカウントのブロックが確認された旨を記載しました。
午後 12:30 PDT (太平洋標準時、-7 時間)
- 脆弱性の概要と深刻度のセクションを更新し、修正セクションの内容に従ってこの脆弱性の修復を行っていないインスタンスでは Confluence からサードパーティのメール アドレスにメール通知が送信される可能性がある旨を記載しました。
- 新しいセクション「メール経由の情報開示の証拠を確認する方法」を追加しました
9:30 AM PDT (太平洋標準時、-7 時間)
- 修正セクションを更新して、読み取り専用の外部ディレクトリを使用するように設定された Confluence Server および Data Center インスタンスに使用できるのはオプション 2 に限られることを説明しました
9:00 AM PDT (太平洋標準時、-7 時間)
- CVE-2022-26138 に関するよくある質問のページへのリンクを追加しました
8:30 AM PDT (太平洋標準時、-7 時間)
- 外部の第三者がハードコードされたパスワードを発見し、Twitter で公開しました。影響を受けるシステムに対して、この脆弱性を直ちに修正することが重要です。
- 「脆弱性の概要」と「重大度」のセクションが更新され、この新しい情報が追加されました。
要約 | Questions for Confluence によって作成された、ハードコードされた資格情報を持つ Confluence アカウント |
|---|---|
勧告のリリース日 | 午前 10:00 PDT (太平洋標準時、-7 時間) |
影響を受ける製品 | 次の製品用の Questions for Confluence アプリ
Confluence Cloud 用の Questions for Confluence アプリは影響を受けません。 |
CVE ID |
脆弱性の概要
Confluence Server または Data Center で Questions for Confluence アプリを有効化すると、disabledsystemuser のユーザー名を持つ Confluence のユーザーアカウントが作成されます。このアカウントは、アプリのデータを Confluence Cloud に移行する管理者の作業の軽減を意図しています。disabledsystemuser アカウントはハードコードされたパスワードで作成され、confluence-users グループに追加されるため、デフォルトでは Confluence 内で制限を持たないすべてのページの表示や編集を行えます。ハードコードされたパスワードの知識を持つ未認証のリモート攻撃者はこの脆弱性を利用して Confluence にログインし、confluence-users グループがアクセス権を持つすべてのページにアクセスすることができます。
disabledsystemuser アカウントはアトラシアンの制御化ではないサードパーティのメール アドレス (dontdeletethisuser@email.com) で構成されています。この脆弱性の修復が以下の修正セクションにしたがって行われていない場合、通知を送信するように構成されている、影響を受けるインスタンスでは、このアドレスにメールが送信されます。メール通知の例としてはおすすめの更新情報の通知が挙げられ、ここには、ユーザーが閲覧権限を持つ Confluence スペースの上位のページについてのレポートが含まれます。dontdeletethisuser@email.com アカウントを管理するフリー メール プロバイダーである mail.com によってアカウントのブロックが確認されました。つまり、権限を持たない人がこのアカウントにアクセスすることはできず、新しいメッセージの送受信は行えません。
外部の第三者がハードコードされたパスワードを発見し、Twitter で公開しました。この脆弱性の修復方法に関するガイダンスについては、次の「修正」セクションをご参照ください。
深刻度
次の理由のため、影響を受けるシステムではこの脆弱性を直ちに修正する必要があります。
アトラシアンは、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
影響有無の確認方法
Confluence Server または Data Center インスタンスに次の情報を持つアクティブなユーザー アカウントが含まれる場合、そのインスタンスは影響を受けています。
ユーザー:
disabledsystemuserユーザー名:
disabledsystemuserメール アドレス:
dontdeletethisuser@email.com
このアカウントは、Questions for Confluence アプリを過去にインストールしてその後アンインストールした場合も存在する可能性があります。
このアカウントがアクティブなユーザーの一覧に表示されない場合、ご利用の Confluence インスタンスは影響を受けていません。
影響を受けるバージョン
次のアプリ バージョンは、ハードコードされたパスワードを持つdisabledsystemuser アカウントを作成するバージョンです。現時点でこれらのバージョンのアプリをアクティブにインストールしていない Confluence インストールであっても引き続き影響を受ける可能性があります。詳細については上記の「影響有無の確認方法」と「修復方法」セクションをご確認ください。
| Questions for Confluence 2.7.x |
|
| Questions for Confluence 3.0.x |
|
修正
Questions for Confluence アプリをアンインストールしてもこの脆弱性は修復されません。アプリをアンインストールしてもdisabledsystemuser アカウントは自動的に削除されません。影響を受ける Confluence Server または Data Center インスタンスをお持ちの場合、この脆弱性を修復するための同様に効果的な 2 つの方法を以下に示します。
これらのオプションでは、disabledsystemuser アカウントを無効化または削除します。アプリから Confluence Cloud へのデータ移行の構成は手動プロセスになります。
オプション 1: Questions for Confluence の脆弱性を持たないバージョンに更新する
Questions for Confluence アプリを次の修正済みバージョンに更新します。
2.7.x >= 2.7.38 (6.13.18 - 7.16.2 との互換性)
バージョン >= 3.0.5 (Confluence 7.16.3 以降との互換性)
アプリの更新方法の詳細については次のページをご確認ください。
https://confluence.atlassian.com/upm/updating-apps-273875710.html
Questions for Confluence アプリの修正済みバージョンでは、disabledsystemuser ユーザー アカウントは作成されず、作成済みである場合はシステムから削除されます。
Confluence が読み取り専用の外部ディレクトリ (例: Atlassian Crowd) を使用するよう設定するには、次のオプション 2 に従う必要があります。
オプション 2: disabledsystemuser アカウントの無効化または削除
disabledsystemuser アカウントを見つけ、無効化または削除します。ユーザー アカウントの無効化または削除方法 (およびこの 2 つのオプションの違いについての説明) については次のページをご確認ください。
https://confluence.atlassian.com/doc/delete-or-disable-users-138318.html
disabledsystemuser アカウントの削除を選択した場合も、Questions for Confluence アプリをアンインストールするか、脆弱性を持たないバージョンにアップグレードする必要があります。これを行わないと、アカウントが削除後に再作成される可能性があります。
Confluence が読み取り専用の外部ディレクトリを使用するように設定されている場合は、同じドキュメントの「読み取り専用の外部ディレクトリまたは複数の外部ディレクトリからの削除」セクションをご参照ください。
脆弱性が悪用された証拠の確認方法
disabledsystemuser アカウントへのログインが行われているかどうかを確認するには、ユーザーの最終ログイン時刻の一覧の取得方法を案内している次のドキュメントをご確認ください。
disabledsystemuser の最終認証日時が null である場合、アカウントは存在していますが過去にログインされたことはありません。
メール経由の情報開示の証拠を確認する方法
Confluence がサードパーティのメール アカウントにメール通知を送信したかどうかを確認するには、Confluence から外向きメールを送信するように構成された SMTP サーバーのログで、dontdeletethisuser@email.com アドレスへのメッセージ送信を確認します。
よくある質問
よくある質問に関する回答として、CVE-2022-26138 の FAQ を更新します。
関連チケット
CONFSERVER-79483 - 課題詳細を取得中... ステータス
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関して、FAQ で回答されていないご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを起票してください。
参考
アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細については、FIRST.org をご参照ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |