CVE-2022-26138 の FAQ

アトラシアン ナレッジベース

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

全般的な情報

Confluence Server または Data Center で Questions for Confluence アプリがインストールおよび有効化されると、disabledsystemuser のユーザー名を持つ Confluence のユーザー アカウントが作成されます。disabledsystemuser アカウントはハードコードされたパスワードを持ち、confluence-users グループに追加されるため、デフォルトでは Confluence 内で制限を持たないすべてのページの表示と編集を行えます。ハードコードされたパスワードの知識を持つ、リモートの未認証の攻撃者が、この脆弱性を悪用して Confluence にログインすることができます。詳細については次のページをご確認ください。Questions For Confluence アプリ - CVE-2022-26138

このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを更新します。

クラウド インスタンスはこのアプリの影響を受けますか?

いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず、お客様による対応は不要です。

アトラシアンの他のサーバー (DC) 製品はこの脆弱性の影響を受けますか?

いいえ、この脆弱性は、Questions for Confluence アプリの脆弱性を持つバージョンを過去にインストールおよび有効化したことのある、Confluence Server および Data Center のインスタンスにのみ影響します。 

Are Confluence Server/DC instances affected?

この脆弱性は、Questions for Confluence アプリの脆弱性を持つバージョンを過去にインストールおよび有効化したことのある、Confluence Server および Data Center のインスタンスにのみ影響します。このアプリを過去にインストールしてアンインストールしたインスタンスも引き続き影響を受ける可能性があります。

Questions for Confluence is not installed with Confluence by default. It's a paid, optional add-on.

How do I know if I'm using Questions for Confluence?

Confluence で [アプリの管理] ページに移動し、ユーザーがインストールしたアプリで絞り込んで、Questions for Confluence で検索します。

自社の Confluence インスタンスをこの問題から守るにはどうすればよいですか?

There are two equally effective options for protecting your Confluence instance against CVE-2022-26138:

  • Upgrade to a fixed version of the Questions for Confluence app
    • 2.7.x >= 2.7.38
    • 3.0.x >= 3.0.5
  • disabledsystemuser アカウントの無効化または削除

Questions for Confluence アプリの修正済みバージョンでは、disabledsystemuser ユーザー アカウントは作成されず、作成済みである場合はシステムから削除されます。アプリから Confluence Cloud へのデータ移行は手動プロセスになります。

Please note: uninstalling the Questions for Confluence app does not remediate this vulnerability.

For more information, refer to the Remediation section of Questions For Confluence App - CVE-2022-26138.

アプリのアップグレードで支援が必要です。どうすればよいですか?

アプリ (アドオン、プラグイン) は最新の状態に保つことをおすすめします。Marketplace からインストールしたアプリはコア製品の更新にかかわらず、任意のタイミングで更新を受け取ることができます。

UPM が Marketplace に接続できる場合、インストール済みのアプリの新しいバージョンが利用可能な場合に通知が表示されます。現在のアプリケーション バージョンとの互換性を持つバージョンのみが表示されます。 

You can update apps individually, or all at once. 

これらのバージョンからアプリを更新できます。

2.7.x >= 2.7.38 (Confluence 6.13.18 - 7.16.2 との互換性)

Versions >= 3.0.5 (compatible with Confluence 7.16.3 and later)

For more information on how to update an app, refer to updating apps.

I'm seeing the user "disabledsystemuser", should I disable or delete it?

Questions for Confluence アプリを更新することをおすすめします。これによってユーザーがシステムから取り除かれます。何らかの理由で更新が行えない場合はユーザーを無効化または削除してください。

"disabledsystemuser" が見つからない場合は安全ですか?

Yes, the vulnerability requires this user to exist and to be enabled/active.

アトラシアンはメールの送信先をどのように判断したのですか?

アトラシアンではお客様が関心を示した製品について、すべての重大なセキュリティ勧告のコピーを "アラート" メーリング リストに送信します (Sourcetree を除く)。このリストに登録するには、https://my.atlassian.com/email でメール設定を更新してください。

Confluence がすでに攻撃されているかどうかを確認することはできますか?

disabledsystemuser アカウントへのログインが行われているかどうかを確認するには、ユーザーの最終ログイン時刻の一覧の取得方法を案内している次のドキュメントをご確認ください。

If the last authentication time for disabledsystemuser is null, which means the account exists but no one has ever logged into it.

パッチ/更新が動作しているかどうかをどのように確認できますか?

In the User management section of Confluence, search for the disabledsystemuser user, if this user no longer exists, then the update worked.

来月も別の勧告を公開するのですか?

このような短期間に複数の勧告を発表したことにより、ご不便をおかけしております。2022 年 7 月以降、アトラシアンでは最大で月に1回重大なセキュリティ勧告を公開します。ただし次の例外は除きます。

  • クリティカルな脆弱性が公開され、広く知られている
  • 攻撃が確認できる報告が広く存在する

最近になって多数の勧告が公開されているのは なぜですか?

アトラシアンでは、自社製品のクリティカルなセキュリティ脆弱性を特定するために複数の方法を用いています。クリティカルな脆弱性が見つかった場合は当社の義務として、お客様がご利用のシステムを保護できるように適切なタイミングでお客様にご連絡しています。

最終更新日 2022 年 7 月 20 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.