CVE-2022-26138 の FAQ
全般的な情報
Confluence Server または Data Center で Questions for Confluence アプリがインストールおよび有効化されると、disabledsystemuser のユーザー名を持つ Confluence のユーザー アカウントが作成されます。disabledsystemuser アカウントはハードコードされたパスワードを持ち、confluence-users グループに追加されるため、デフォルトでは Confluence 内で制限を持たないすべてのページの表示と編集を行えます。ハードコードされたパスワードの知識を持つ、リモートの未認証の攻撃者が、この脆弱性を悪用して Confluence にログインすることができます。詳細については次のページをご確認ください。Questions For Confluence アプリ - CVE-2022-26138
このページでは、この脆弱性に関するよくある質問をまとめています。新しい情報が公開されたら、アトラシアンのセキュリティ チームがこのページを更新します。
クラウド インスタンスはこのアプリの影響を受けますか?
いいえ、アトラシアンのクラウド インスタンスは脆弱性を持たず、お客様による対応は不要です。
アトラシアンの他のサーバー (DC) 製品はこの脆弱性の影響を受けますか?
いいえ、この脆弱性は、Questions for Confluence アプリの脆弱性を持つバージョンを過去にインストールおよび有効化したことのある、Confluence Server および Data Center のインスタンスにのみ影響します。
Confluence Server/DC インスタンスは影響を受けますか?
この脆弱性は、Questions for Confluence アプリの脆弱性を持つバージョンを過去にインストールおよび有効化したことのある、Confluence Server および Data Center のインスタンスにのみ影響します。このアプリを過去にインストールしてアンインストールしたインスタンスも引き続き影響を受ける可能性があります。
Questions for Confluence はデフォルトでは Confluence に同梱されていません。有料のオプション アドオンです。
Questions for Confluence の利用有無はどのように確認できますか?
Confluence で [アプリの管理] ページに移動し、ユーザーがインストールしたアプリで絞り込んで、Questions for Confluence で検索します。
自社の Confluence インスタンスをこの問題から守るにはどうすればよいですか?
ご利用の Confluence インスタンスを CVE-2022-26138 から保護するには、同様に効果的な 2 つのオプションがあります。
- Questions for Confluence アプリの修正済みバージョンにアップグレード
- 2.7.x >= 2.7.38
- 3.0.x >= 3.0.5
disabledsystemuserアカウントの無効化または削除
Questions for Confluence アプリの修正済みバージョンでは、disabledsystemuser ユーザー アカウントは作成されず、作成済みである場合はシステムから削除されます。アプリから Confluence Cloud へのデータ移行は手動プロセスになります。
注意: Questions for Confluence アプリをアンインストールしてもこの脆弱性は修復されません。
詳細については Questions For Confluence アプリ - CVE-2022-26138 の修正セクションをご確認ください。
アプリのアップグレードで支援が必要です。どうすればよいですか?
アプリ (アドオン、プラグイン) は最新の状態に保つことをおすすめします。Marketplace からインストールしたアプリはコア製品の更新にかかわらず、任意のタイミングで更新を受け取ることができます。
UPM が Marketplace に接続できる場合、インストール済みのアプリの新しいバージョンが利用可能な場合に通知が表示されます。現在のアプリケーション バージョンとの互換性を持つバージョンのみが表示されます。
アプリは個別に更新することも、まとめて更新することもできます。
これらのバージョンからアプリを更新できます。
2.7.x >= 2.7.38 (Confluence 6.13.18 - 7.16.2 との互換性)
バージョン >= 3.0.5 (Confluence 7.16.3 以降との互換性)
アプリの更新方法の詳細については「アプリの更新」をご確認ください。
"disabledsystemuser" が確認できる場合、無効化または削除するべきですか?
Questions for Confluence アプリを更新することをおすすめします。これによってユーザーがシステムから取り除かれます。何らかの理由で更新が行えない場合はユーザーを無効化または削除してください。
"disabledsystemuser" が見つからない場合は安全ですか?
はい、本脆弱性ではこのユーザーが存在し、有効化されている必要があります。
アトラシアンはメールの送信先をどのように判断したのですか?
アトラシアンではお客様が関心を示した製品について、すべての重大なセキュリティ勧告のコピーを "アラート" メーリング リストに送信します (Sourcetree を除く)。このリストに登録するには、https://my.atlassian.com/email でメール設定を更新してください。
Confluence がすでに攻撃されているかどうかを確認することはできますか?
disabledsystemuser アカウントへのログインが行われているかどうかを確認するには、ユーザーの最終ログイン時刻の一覧の取得方法を案内している次のドキュメントをご確認ください。
disabledsystemuser の最終認証日時が null である場合、アカウントは存在していますが過去にログインされたことはありません。
パッチ/更新が動作しているかどうかをどのように確認できますか?
Confluence のユーザー管理セクションで disabledsystemuser ユーザーを検索します。ユーザーが存在しなくなったら更新が動作しています。
来月も別の勧告を公開するのですか?
このような短期間に複数の勧告を発表したことにより、ご不便をおかけしております。2022 年 7 月以降、アトラシアンでは最大で月に1回重大なセキュリティ勧告を公開します。ただし次の例外は除きます。
- クリティカルな脆弱性が公開され、広く知られている
- 攻撃が確認できる報告が広く存在する
最近になって多数の勧告が公開されているのは なぜですか?
アトラシアンでは、自社製品のクリティカルなセキュリティ脆弱性を特定するために複数の方法を用いています。クリティカルな脆弱性が見つかった場合は当社の義務として、お客様がご利用のシステムを保護できるように適切なタイミングでお客様にご連絡しています。