CVE-2023-22522 の FAQ
全般的な情報
Confluence Server および Data Center でクリティカルな深刻度の認証の脆弱性が見つかりました (CVE-2023-22522)。
このページには、この脆弱性に関してよく寄せられる質問への回答が含まれています。新しい情報が公開され次第、アトラシアンのセキュリティ チームがこのページを更新します。
私の Confluence インスタンスは影響を受けますか?
Confluence Data Center および Server の 4.0.0 以降のすべてのバージョンがこの脆弱性の影響を受けます。このテンプレート インジェクションの脆弱性により、認証された攻撃者 (匿名アクセスを持つ者を含む) が安全でないユーザー入力を Confluence ページに挿入することができます。このアプローチを使用すると、攻撃者は影響を受けるインスタンスでリモート コード実行 (RCE) ができます。
アトラシアンでは、脆弱性のあるインストールに対して、以下に示す修正バージョン (または最新のバージョン) にパッチすることを強く推奨します。
製品 | 修正済みバージョン |
|---|---|
Confluence Data Center および Confluence Server |
|
Confluence Data Center |
|
注意: 8.6 以降、新しい Confluence リリースは Data Center ライセンスのみをサポートします。8.6 以降へのバージョンにアップグレードする場合、有効な Data Center ライセンスがあることを確認してください。
クラウド インスタンスは影響を受けますか?
Atlassian Cloud インスタンスはCVE-2023 -22522の影響を受けません。Confluence サイトへのアクセスが atlassian.net ドメイン経由の場合、そのサイトはアトラシアンがホストしており、脆弱性の影響を受けることはありません。
他のアトラシアン製品はこの脆弱性の影響を受けますか?
現在の情報によると、他のアトラシアン製品は CVE-2023-22522 の影響を受けません。他の製品においてこの脆弱性への対応は必要はありません。 使用している他のアトラシアン製品に影響を与える可能性のあるその他の最新のセキュリティ勧告については、アトラシアン セキュリティ勧告ページを確認してください。
当社のインスタンスはインターネットに接続されていません。
Confluence インスタンスがインターネットからアクセスできない場合、悪用されるリスクは軽減されますが、完全に軽減されるわけではありません。
CVE-2023-22522 の Confluence セキュリティ勧告ページに記載されている最新のパッチを適用することを依然として強くお勧めします。
パブリック インスタンスでは匿名アクセスを許可していません。
これは認証済みユーザーによるリモート コード実行の脆弱性です。したがって、匿名アクセスが許可されていない場合、潜在的な攻撃者はインスタンスで認証される方法を見つける必要があるため、リスクは軽減されます。
CVE-2023-22522 の Confluence セキュリティ勧告ページに記載されている最新のパッチを適用することを強くお勧めします。
私のインスタンスはインターネットに公開されていません。この場合もアップグレードは推奨されますか?
はい。パブリック インターネットに公開されていないインスタンスは CVE-2023-22522 に対する攻撃対象の領域は小さくなりますが、関連するパッチを適用することを強くお勧めします。
影響を受けるバージョンの Confluence を実行しています。パッチできるようになるまでどうすればいいですか?
Confluence Data Center および Server インスタンスに直ちにパッチを適用できないお客様は、リスクを軽減するために次の手順を実行することをお勧めします。
1. すぐにシステムをインターネットから切り離す
2. インスタンスのデータを Confluence インスタンス外の安全な場所にバックアップする
3. 社内のセキュリティ チームに連絡して、潜在的な悪意のある活動がないかを確認する
Confluence のバックアップに関するガイダンスは、本番環境バックアップ ストラテジー | Confluence Data Center とServer 8.6 | アトラシアン製品ドキュメントを確認してください。
この修正は、EOL/LTS 以外の Confluence バージョンにも含まれていますか (例えば、7.20.x)?
(CVE-2023-22522 などの) クリティカルな脆弱性については、アトラシアンは、セキュリティ バグ修正ポリシーに沿って Confluence バグ修正リリースを発行します。
ポリシーに従って、アトラシアンはサポート終了に達していない長期サポート (LTS) リリースとして指定されているバージョン (例:Confluence 7.19.x、Confluence 8.5.x) の修正をバックポートします。
さらに、アトラシアンは、クリティカルなセキュリティ修正を、セキュリティ修正がリリースされた日から 6 か月以内にリリースされたすべての機能バージョンにバックポートします。 たとえば、Confluence 7.20 は 2022 年 10 月にリリースされました。このバージョンはリリースされてから 6 か月以上が経過しているため、Confluence 7.20 に修正はバックポートされません。
詳細は、アトラシアンのセキュリティ バグ修正ポリシー ドキュメントをご覧ください。
CVE-2023-22522 に関するエクスプロイトの IOC (Indicator or Compromise) はありますか?
連鎖攻撃に加えて複数の侵入口が存在する可能性があるため、侵害の可能性があるすべての指標を列挙することは困難です。
Confluence インスタンスを保護するために、お客様によるアクションが直ちに必要です。
CVE-2023-22522 で概説されているように、脆弱なインスタンスには、最新の長期サポート (LTS) リリース (または修正を含む最新バージョン) にすぐにパッチすることを強くお勧めします。
CVE-2023-22522 は、設定済みのアプリケーション トンネルまたはアプリケーション リンクに影響しますか?
アプリケーション トンネルやアプリケーション リンクには影響はありません。
社内にセキュリティ チームがない場合はどうしたら良いですか?
専門のセキュリティ会社にさらなる調査を依頼することをお勧めします。