CVE-2022-22965 の FAQ
全般的な情報
Spring Framework のクリティカルなリモート コード実行の脆弱性である CVE-2022-22965 が見つかりました。Spring のセキュリティ勧告によると、この脆弱性は JDK 9 以降で実行されている Spring MVC および Spring WebFlux アプリケーションに影響します。
このページは “CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+” に関するよくある質問と回答を含みます。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを継続的に更新します。
クラウド インスタンスは影響を受けますか?
いいえ、アトラシアンのクラウドにホストされている製品のインスタンスが影響を受ける既知の脆弱性はなく、 お客様による対応は 不要です。当社の分析では、アトラシアンのシステムや顧客データの漏えいは特定されていません。念のため、影響を受ける Spring バージョンを利用しているサービスでは、新しい攻撃のベクトルが見つかった場合に備えて、優先的にパッチ適用が行われています。
オンプレミス/Data Center のオンプレミス製品は影響を受けますか?
進行中の調査により、狭い範囲の事前条件が満たされたときに次のオンプレミス製品が脆弱性を持つことが特定されました。
Bamboo Server および Data Center
Confluence Server および Data Center
Jira Software Server および Data Center
Jira Service Management Server および Data Center
攻撃が成功するには次の事前条件のすべてが満たされる必要があります。
製品が JDK 9 以降の上で実行されている
攻撃者が、ユーザーが悪意のある HTTP リクエストを行うように仕向ける
リクエストに有効な Cross-Site Request Forgery トークンが含まれる (注: 同じ same-origin ポリシーにより、攻撃者がユーザーの有効なトークンを取得することが妨げられます)
ターゲットのユーザーがアプリケーションに "システム管理者" 権限でログインしている
Jira と Confluence のみ: ターゲットのユーザーにアクティブな "セキュアな管理者セッション" がある (注: これらのセッションはデフォルトでは直近 10 分間のみ存続します)
Products will be updated in accordance with our Data Center and Server Bug Fix Policy. The following tickets can be used to track progress. Become a Watcher on the ticket to get notified when a fixed version is released:
- Jira: JSWSERVER-21350
- Confluence: CONFSERVER-78586
- Bamboo: BAM-21755
次のオンプレミス製品は、影響を受ける Spring バージョンを利用していますが、既知の攻撃への脆弱性は持ちません。
Bitbucket Server および Data Center
Crowd
Crucible
Fisheye
念のため、これらの製品は当社の Data Center およびサーバーのバグ修正ポリシーに従って更新されます。
次のオンプレミス製品では Spring は使用しておらず、パッチ適用は不要です。
Sourcetree for Mac
Sourcetree for Windows
パッチが提供されるまでの間にこの脆弱性を軽減するために行えるソリューションはありますか?
影響を受けるオンプレミス製品のお客様は、JDK 9 以降の実行から JDK 8 以前の実行にダウングレードできます。これによって攻撃を受ける可能性をなくすことができます。Jira および Confluence で Java バージョンを変更するための、次の手順を利用できます。
- Jira: https://ja.confluence.atlassian.com/jirakb/change-the-java-version-used-by-jira-server-765594330.html
- Confluence: https://ja.confluence.atlassian.com/doc/change-the-java-vendor-or-version-confluence-uses-962342397.html
Alternatively (Jira only), we’ve released these new versions with an upgraded version of Tomcat which also serves to mitigate this issue:
Reference: https://jira.atlassian.com/browse/JRASERVER-73773
Marketplace アプリは影響を受けますか?
更新
当社のセキュリティ チームでは CVE-2022-22965 への脆弱性について、Atlassian Marketplace にあるすべてのクラウド、サーバー、および Data Center アプリの調査とスキャンを完了しました。
クラウド アプリ
少数のアプリでのみ脆弱性が確認されました。影響を受ける各クラウド アプリは Atlassian Marketplace で非表示になりました。また、パートナーが脆弱性を修正するまでの間は、すべてのクラウド インスタンスでこれらのアプリの利用を一時的に無効化しました。
Data Center およびサーバー アプリ
調査の結果、いくつかのサーバーおよび Data Center アプリで、脆弱性を持つ Spring Framwork バージョンが利用されていることがわかりました。しかしながら、脆弱性を利用した攻撃に必要な前提条件を考慮すると、これらのアプリが攻撃に晒されることはないと考えています。念のために各パートナーに連絡し、当社のセキュリティ バグ修正ポリシーで定められた期間内に Spring Framework を修正バージョンにアップグレードするよう要求しています。
Atlassian Marketplace に登録されていないアプリはアトラシアンによるレビューの対象外であることにご注意ください。これらのアプリの CVE 情報については、お客様が開発元に直接問い合わせる必要があります。
アプリ開発者向けの情報
Attention: CVE-2022-22965 Spring Framework RCE Investigation
アトラシアン製品は CVE-2022-22963 の脆弱性の影響を受けますか?
CVE-2022-22963 は Spring Cloud Function パッケージの脆弱性であり、続けて公開された CVE-2022-22965 との関連性はありません。アトラシアンのクラウド製品とオンプレミス製品は、CVE-2022-22963 に関する既知の攻撃に対する脆弱性を持ちません。