CVE-2021-44228、CVE-2021-45046、および CVE-2021-45105 の FAQ
全般的な情報
このページでは、最近公開されたセキュリティ勧告「複数の製品のセキュリティ勧告 - リモート コード実行に関する Log4j の脆弱性 - CVE-2021-44228」 (Log4j に影響する脆弱性である CVE-2021-44228 に関連) について、よくある質問とそれらへの回答をご案内します。また、関連する脆弱性である CVE-2021-45046 および CVE-2021-45105 についてのガイダンスも含みます。
クラウド インスタンスは影響を受けますか?
いいえ、アトラシアン製品のお客様が脆弱性の影響を受けることはなく、アクションは不要です。脆弱性の影響を受ける Log4j のバージョンを利用していたすべてのアトラシアンのクラウド製品で、脆弱性が軽減されています。なお、弊社の分析では、これらのシステムにパッチを当てる前の時点で、アトラシアンのシステムや顧客データへの侵害は確認されていません。
オンプレミスのサーバー/Data Center のインスタンスは影響を受けますか?
弊社のセキュリティ チームが Log4j リモート コード実行の脆弱性 (CVE-2021-44228) の影響を調査し、アトラシアンのオンプレミス製品に CVE-2021-44228 の影響を受けるものはないことを確認しました。
一部のオンプレミス製品は、アトラシアンがメンテナンスしている、Log4j 1.2.17 のフォークを使用していますが、これは CVE-2021-44228 の影響を受けません。このフォークについては追加の分析を行い、信頼できるパーティによってのみ悪用される可能性がある同様の脆弱性を新しく確認しました。これを受け、アトラシアンではオンプレミス製品の深刻度を低とレーティングしています。特に Log4j の 1.x を使うアトラシアン製品は、次の非デフォルト構成のすべてが利用されている場合にのみ、影響を受けます
- アプリケーションの Log4j 構成で JMS Appender が構成されている
- The
javax.jms
API is included in the application'sCLASSPATH
(e.g. for Jira the<install>/WEB-INF/lib
sub-directory) - JMS Appender が、サードパーティへの JNDI ルックアップで構成されている。注: これは、信頼されたユーザーによるアプリケーション構成の変更か、信頼されたコードによるランタイム中のプロパティ設定でのみ行なえます。
次の製品は、Log4j 1.2.17 の、アトラシアンがメンテナンスしているフォークを使用しています。
- Bamboo Server および Data Center
- Confluence Server および Data Center
- Crowd Server および Data Center
- FishEye / Crucible
- Jira Server および Data Center
脆弱性の影響を受ける可能性は、Log4j 構成ファイルを点検することで確認できます。org.apache.log4j.net.JMSAppender
を含む行があった場合は脆弱性の影響を受ける可能性があります。org.apache.log4j.net.JMSAppender
を含む行がない場合、脆弱性の影響を受ける構成は存在しません。
How can I mitigate this vulnerability?
If you're using the functionality provided by JMS Appender we recommend you mitigate the vulnerability as soon as possible by temporarily disabling any configured appenders utilizing org.apache.log4j.net.JMSAppender
by commenting out the relevant lines in your Log4j configuration file and restarting the application. In a Data Center environment, a rolling restart of the nodes is sufficient after updating affected configuration files.
各製品の Log4j 構成ファイルのデフォルトの場所については、次の表をご確認ください。
製品 | デフォルトのパス |
---|---|
Jira Server & Data Center |
|
Confluence Server & Data Center |
|
Bamboo Server & Data Center |
|
FishEye / Crucible |
|
Crowd Server & Data Center | <インストール ディレクトリ>/crowd-webapp/WEB-INF/classes/log4j.properties <インストール ディレクトリ>/crowd-openidclient-webapp/WEB-INF/classes/log4j.properties <インストール ディレクトリ>/crowd-openidserver-webapp/WEB-INF/classes/log4j.properties |
Bitbucket Server/Data Center は Log4j を使用している製品の一覧に含まれていないようですが、インストール ディレクトリを確認すると Log4j の JAR ファイルが存在します。このインスタンスは脆弱性の影響を受けているのでしょうか?
Bitbucket Server も Data Center も Log4j は使用していません。これらでは Logback を使用しています。これらのファイルは、Log4j コンポーネントをログ記録フレームワークのために利用できるようにするように存在しますが、これらに脆弱性はありません。
アトラシアンでは にセキュリティ勧告を更新し、Bitbucket Server および Data Center は、Bitbucket にバンドルされる Elasticsearch の使用を通じて脆弱性の影響を受けることを強調しています。修正済みバージョンへのアップグレード方法や、それまでの期間における脆弱性の軽減方法を、次のページでご確認ください。複数の製品のセキュリティ勧告 - リモート コード実行に関する Log4j - CVE-2021-44228
引き続き Bitbucket Server/Data Center について、JAR ファイルを削除するべきですか?
いいえ、JAR ファイルは削除しないでください。JAR を削除しても Bitbucket のコア機能への影響はありませんが、アトラシアン エコシステムのアプリを含む、他のアプリが影響を受ける可能性があります。製品内で Log4j の API (v1 または v2) を使うアプリは、ログの記録には Logback を使用します。
自社のシステムが攻撃されているかどうかをどのように確認できますか?
恐縮ながら、お客様のインスタンスが攻撃を受けたかどうかを弊社側で確認することはできません。セキュリティ侵害にはさまざまなものが考えられます。詳細な調査が必要な場合、内部のセキュリティ チーム、スペシャリスト、セキュリティ フォレンジック機関にご依頼いただくことを強く推奨します。
アトラシアン製品は、関連する脆弱性である CVE-2021-45046 と CVE-2021-45105 の影響を受けますか?
Log4j の非デフォルト構成において、関連する次の 2 つの脆弱性が発見されています。
- 2.0-beta9 から 2.15.0 (これら両方を含む) が CVE-2021-45046 の影響を受けること
- 2.0-alpha1 から 2.16.0 (2.12.3 を除く) が CVE-2021-45105 の影響を受けること
アトラシアンのセキュリティ チームは、アトラシアンの製品やサービスで利用されている構成において、これらいずれかの脆弱性を含む構成を発見していません。いずれの脆弱性も、この FAQ でご説明している、アトラシアンが保持している Log4j 1.x のフォークには適用されません。
脆弱性の影響を受ける構成を利用しているかどうかにかかわらず、アトラシアンでは log4j 2.17.0 以降にアップグレードすることで CVE-2021-45046 および CVE-2021-45105 に対応します。この対応のタイミングはアトラシアンのセキュリティ バグ修正ポリシーに従います。
アトラシアン製品は CVE-2021-44832 の影響を受けますか?
CVE-2021-44832 は、Log4j 1.2.17 のアトラシアンが保持しているフォークには影響しません。
Bitbucket にバンドルされている Elasticsearch (あるいは DC 用のスタンドアロンの Elasticsearch インスタンス) は、Elastic Security Advisory ESA-2021-31 によると、CVE-2021-44832 の影響を受けません。
なお、CVE-2021-44832 の脆弱性が暴露されるには、攻撃者に log4j の構成ファイルを編集するための上位の権限が必要となる点にご注意ください。これは CVE-2021-44228 のようなクリティカルな脆弱性ではありません。National Vulnerability Database により、CVSSv3 ベースのスコアで 6.6 (中程度) が割り当てられています。
Is the Atlassian Plugin SDK vulnerable to CVE-2021-44228 or CVE-2021-44832?
The Atlassian Plugin SDK uses Log4j 1.x and is therefore not affected by CVE-2021-44228 or CVE-2021-44832.