複数の製品のセキュリティ勧告 - リモート コード実行に関する Hazelcast の脆弱性 - CVE-2016-10750、CVE-2022-26133

記事

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

要約

CVE-2016-10750 - リモート コード実行に関する Hazelcast の脆弱性

勧告のリリース日

  23:00 UTC (世界標準時、+0 時間)

影響を受ける製品

  • Bitbucket Data Center

  • Confluence Data Center

CVE ID

CVE-2016-10750 (Confluence Data Center)
CVE-2022-26133 (Bitbucket Data Center) 

この勧告の内容は初回の公開時から更新されています。

07:30 UTC (Coordinated Universal Time, +0 hours)

  • Updated the fixed version of the Confluence DC

  23:00 UTC (世界標準時、+0 時間)

  • Bitbucket Data Center の脆弱性に CVE-2022-26133 を割り当てました。これは CVE-2016-10750 に似ていますがわずかに異なり、Bitbucket に固有です
  • Bitbucket の新しい割り当てによってこの勧告内の情報が変更されるわけではありません。影響を受けるバージョンと修正済みバージョンの既存の一覧は変更されておらず、引き続き有効です。
  • 変更に伴って脆弱性の概要セクションを更新しました。

17:00 UTC (世界標準時、+0 時間)

  • 初回公開時に誤って除外された「重大度」セクションを追加しました。

脆弱性の概要

複数のアトラシアン製品がサードパーティのソフトウェアである Hazelcast を利用していますが、Hazelcast は Java のでデシリアライゼーション攻撃への脆弱性を持ちますHazelcast は、アトラシアン製品がクラスタとして実行するように構成されるときに使われます。リモートの未認証の攻撃者が特別に作成したリクエストを送信することでこの脆弱性を開示し、それによって任意のコード実行を行えるようになる可能性があります。

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

Bitbucket Data Center の影響を受けるバージョン

  • Bitbucket Server は影響を受けません

  • Bitbucket Cloud は影響を受けません

Bitbucket Data Center の単一インストールとマルチノード インストールの両方が影響を受けます。クラスタが有効化されているかどうかは、アプリケーションの脆弱性に影響しません。

Bitbucket Data Center の次のバージョンが影響を受けています。

  • すべての 5.x バージョン >= 5.14.x

  • すべての 6.x バージョン

  • すべての 7.x バージョン < 7.6.14

  • 7.7.x から 7.16.x までのすべてのバージョン

  • 7.17.x < 7.17.6

  • 7.18.x < 7.18.4

  • 7.19.x < 7.19.4

  • 7.20.0

Bitbucket Data Center の修正済みのバージョン

Bitbucket Data Center の次のバージョンではこの脆弱性が修正されています。

  • 7.6.14

  • 7.17.6

  • 7.18.4

  • 7.19.4

  • 7.20.1

  • 7.21.0

上記バージョンを弊社のダウンロード ページで取得し、Bitbucket のアップグレード ガイドに記載された手順を利用してアップグレードを完了してください。

修正済みのバージョンをインストールすることができない場合は以降の「回避策」セクションをご確認ください。

Confluence Data Center の影響を受けるバージョン

  • クラスタとしてインストールされていない Confluence Data Center インスタンスは影響を受けません

  • Confluence Server は影響を受けません

  • Confluence Cloud は影響を受けません

Confluence Data Center は、クラスタとしてインストールされている場合にのみ影響を受けます。クラスタ インストールが利用されているかどうかを確認するには、Confluence ホーム ディレクトリconfluence.cfg.xml ファイルをご確認ください。次の行が存在する場合はクラスタとしてインストールされています。

<property name="confluence.cluster">true</property>

この行が存在しない、あるいは値が true ではなく false に設定されている場合、それはクラスタとしてインストールされていません

クラスタが有効化されている次のバージョンの Confluence Data Center が影響を受けます。

  • 5.6.x 以降のすべてのバージョン

Confluence Data Center の修正済みのバージョン

The following versions of Confluence Data Center fix this vulnerability:

  • 7.4.17

  • 7.13.7

  • 7.14.3

  • 7.15.2

  • 7.16.4

  • 7.17.4

  • 7.18.1

この問題はこちらで追跡できます。 

CONFSERVER-79017 - 課題詳細を取得中... ステータス

Atlassian recommends that you upgrade to the latest Long Term Support release. For a full description of the latest version, see the Confluence Server and Data Center Release Notes. You can download the latest version from the download centre.

Note: If you run Confluence in a cluster, you will not be able to upgrade to these versions without downtime, also known as a rolling upgrade. Follow the steps in Upgrading Confluence Data Center.

回避策

ファイアウォールまたは他のネットワーク アクセス制御を使い、Hazelcast ポートへのアクセスを制限します。このポートへのアクセスが必要なのは、Bitbucket または Confluence クラスタのほかのノードのみです。

Bitbucket Data Center の場合、Hazelcast はデフォルトで TCP ポート 5701 を利用します。 

Confluence Data Center の場合、Hazelcast はデフォルトで TCP ポート 5701 と 5801 の両方を利用します

謝辞

この脆弱性をアトラシアンのバグ報奨金プログラムに報告してくださった Benny Jacob (SnowyOwl) に感謝します。

参考

最終更新日 2022 年 6 月 6 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.