CVE-2022-1471 - SnakeYAMLライブラリ RCE の脆弱性が複数の製品に影響

セキュリティ アドバイザリーおよびセキュリティ情報

このページの内容

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

要約CVE-2022-1471 - SnakeYAMLライブラリ RCE の脆弱性が複数の製品に影響
勧告のリリース日2023 年 12 月 05 日 (火) 21:00 PST
製品
  • Automation for Jira app (including Server Lite edition)
  • Bitbucket Data Center
  • Bitbucket Server
  • Confluence Data Center
  • Confluence Server
  • Confluence Cloud Migration App
  • Jira Core Data Center
  • Jira Core Server
  • Jira Service Management Data Center
  • Jira Service Management Server
  • Jira Software Data Center
  • Jira Software Server
CVE IDCVE-2022-1471

脆弱性の概要

複数の Atlassian Data Center および Server 製品が Java 用の SnakeYAML ライブラリを使用しています。これは、RCE (リモート コード実行) を引き起こす可能性のある逆シリアル化の欠陥の影響を受けやすくします。

Atlassian Cloud サイトはこの脆弱性の影響を受けません。ご利用のサイトが atlassian.net ドメイン経由でアクセスされている場合、そのサイトはアトラシアンがホストしており、この問題の脆弱性はありません。

深刻度

アトラシアンはこの脆弱性の深刻度レベルを社内の評価にしたがって「クリティカル (critical)」と評価しています (9.8 と次のベクトル CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:)。これはアトラシアンの評価であり、お客様自身で自社の IT 環境への適用性を評価する必要があります。

影響を受けるバージョン

このRCE (リモートコード実行) の脆弱性は、下表に記載されているすべてのバージョンに影響します。

アトラシアンは、最新バージョンまたは修正 LTS バージョンへのパッチを推奨しています。

製品影響を受けるバージョン

Automation for Jira (A4J) Marketplace App

Automation for Jira (A4J) - Server Lite Marketplace App

  • 9.0.1

  • 9.0.0

  • <= 8.2.2

Bitbucket Data Center および Server
  • 7.17.x
  • 7.18.x

  • 7.19.x

  • 7.20.x

  • 7.21.0
  • 7.21.1
  • 7.21.2
  • 7.21.3
  • 7.21.4
  • 7.21.5
  • 7.21.6
  • 7.21.7
  • 7.21.8
  • 7.21.9
  • 7.21.10
  • 7.21.11
  • 7.21.12
  • 7.21.13
  • 7.21.14
  • 7.21.15

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.x

  • 8.4.x

  • 8.5.x

  • 8.6.x

  • 8.7.x
  • 8.8.0
  • 8.8.1
  • 8.8.2
  • 8.8.3
  • 8.8.4
  • 8.8.5
  • 8.8.6
  • 8.9.0
  • 8.9.1
  • 8.9.2
  • 8.9.3
  • 8.10.0
  • 8.10.1
  • 8.10.2
  • 8.10.3
  • 8.11.0
  • 8.11.1
  • 8.11.2
  • 8.12.0
Confluence Data Center および Server

  • 6.13.x

  • 6.14.x

  • 6.15.x

  • 7.0.x

  • 7.1.x

  • 7.2.x

  • 7.3.x

  • 7.4.x

  • 7.5.x

  • 7.6.x

  • 7.7.x

  • 7.8.x

  • 7.9.x

  • 7.10.x

  • 7.11.x

  • 7.12.x

  • 7.13.0

  • 7.13.1

  • 7.13.2

  • 7.13.3

  • 7.13.4

  • 7.13.5

  • 7.13.6

  • 7.13.7

  • 7.13.8

  • 7.13.9

  • 7.13.10

  • 7.13.11

  • 7.13.12

  • 7.13.13

  • 7.13.14

  • 7.13.15

  • 7.13.16

  • 7.13.17

  • 7.14.x

  • 7.15.x

  • 7.16.x

  • 7.17.x

  • 7.18.x

  • 7.19.0

  • 7.19.1

  • 7.19.2

  • 7.19.3

  • 7.19.4

  • 7.19.5

  • 7.19.6

  • 7.19.7

  • 7.19.8

  • 7.19.9

  • 7.20.x

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.0

Confluence Cloud Migration App (CCMA)

Jira Core Data Center および Server

Jira Software Data Center および Server

  • 9.4.0

  • 9.4.1

  • 9.4.2

  • 9.4.3

  • 9.4.4

  • 9.4.5

  • 9.4.6

  • 9.4.7

  • 9.4.8

  • 9.4.9

  • 9.4.10

  • 9.4.11

  • 9.4.12

  • 9.5.x

  • 9.6.x

  • 9.7.x

  • 9.8.x

  • 9.9.x

  • 9.10.x

  • 9.11.0

  • 9.11.1

Jira Service Management Data Center および Server

  • 5.4.0

  • 5.4.1

  • 5.4.2

  • 5.4.3

  • 5.4.4

  • 5.4.5

  • 5.4.6

  • 5.4.7

  • 5.4.8

  • 5.4.9

  • 5.4.10

  • 5.4.11

  • 5.4.12

  • 5.5.x

  • 5.6.x

  • 5.7.x

  • 5.8.x

  • 5.9.x

  • 5.10.x

  • 5.11.0

  • 5.11.1

必要なアクション

アトラシアンは、影響を受ける各製品のインストールを最新バージョンまたは以下にリストアップされている修正バージョンのいずれかにパッチすることを推奨します。

製品操作

Automation for Jira (A4J) Marketplace App

Automation for Jira (A4J) - Server Lite Marketplace App

以下の修正バージョン以降のバージョンにパッチ

  • 9.0.2

  • 8.2.4

軽減策

Universal Plugin Manager (UPM) 経由でアップグレードする

詳細は、A4J 9.0+ の重大な変更を参照してください。
Bitbucket Data Center および Server

以下の修正バージョン以降のバージョンにパッチ

  • 7.21.16 (LTS)

  • 8.8.7

  • 8.9.4 (LTS)

  • 8.10.4 

  • 8.11.3 

  • 8.12.1 

  • 8.13.0

  • 8.14.0

  • 8.15.0 (Data Center のみ)

  • 8.16.0 (Data Center のみ)

軽減策

この脆弱性の軽減方法方法はありません。すぐにアップグレードしてください。

Confluence Data Center および Server

以下の修正バージョン以降のバージョンにパッチ

  • 7.19.17(LTS) 
  • 8.4.5
  • 8.5.4(LTS)
  • 8.6.2 (Data Center のみ)
  • 8.7.1 (Data Center のみ)

以下のバージョンで修正済み

修正は 7.13.18、7.19.10、および 8.3.1 に含まれています。ただし、これらのバージョンには、以前に公開したセキュリティの脆弱性も含まれています

軽減策

この脆弱性の軽減方法方法はありません。すぐにアップグレードしてください。

Confluence Cloud Migration App (CCMA)

以下の修正バージョン以降のバージョンにパッチ

  • 3.4.0

軽減策

この脆弱性の軽減方法方法はありません。すぐにアップグレードしてください。

Jira Core Data Center and Server

Jira Software Data Center および Server

以下の修正バージョン以降のバージョンにパッチ

  • 9.11.2

  • 9.12.0 (LTS)

  • 9.4.14 (LTS)

軽減策

製品インスタンスを修正バージョンにアップグレードできない場合は、Universal Plugin Manager (UPM) を介して、Automation for Jira (A4J) アプリを修正バージョンにアップグレードすることで、この脆弱性を完全に軽減することができます。

詳細は、A4J 9.0 の重大な変更を参照してください (Jira 9.11+ にもバンドル)。

Jira Service Management Data Center および Server

以下の修正バージョン以降のバージョンにパッチ

  • 5.11.2 

  • 5.12.0 (LTS)

  • 5.4.14 (LTS)

Jira を修正バージョンにアップグレードすることも必要です。

軽減策

製品インスタンスを修正バージョンにアップグレードできない場合は、Universal Plugin Manager (UPM) を介して、Automation for Jira (A4J) アプリを修正バージョンにアップグレードすることで、この脆弱性を完全に軽減することができます。

詳細は、A4J 9.0 の重大な変更を参照してください (JSM 5.11+ にもバンドル)。

最新バージョンの完全な説明については、対象の製品のリリース ノートをご確認ください。

ご利用の製品の最新バージョンはダウンロード センターからダウンロードできます。

関連チケット

よくある質問

More details can be found on the Frequently Asked Questions (FAQ) page.

サポート

このセキュリティ勧告のメールを受け取っていないが今後このようなメールの受信を希望する場合は、https://my.atlassian.com/email にアクセスしてテクニカル アラート メールにご登録ください。この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/contact/#/ からサポート リクエストを起票ください。

参考

セキュリティ バグ修正ポリシーAtlassian の新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。バイナリーパッチではなく、ポリシーの対象となるバージョンの新しいメンテナンス リリースをリリースします。バイナリー パッチのリリースは終了しています。
セキュリティ問題の深刻度アトラシアンのセキュリティ勧告には深刻度レベルと CVE ID が含まれます。深刻度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細は FIRST.org でご確認ください。
サポート終了ポリシーサポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。
最終更新日: 2023 年 12 月 6 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.