/
Confluence Server & Confluence Data Center Security Advisory 2021-08-25 日本語訳

Confluence Server & Confluence Data Center Security Advisory 2021-08-25 日本語訳

2022/01/29

Atlassian 社のセキュリティアドバイザリ

本脆弱性の対応策(修正バージョンへのアップグレードもしくは緩和策のスクリプト実行)の実施を強く推奨します。

本脆弱性は設定に依存せず、認証されていないユーザーによって悪用される可能性があります。

(2021/9/8 時点)Atlassian 社が公開している Windows 環境向けの緩和策スクリプトに不備があります。

詳細は Microsoft Windows オペレーションシステムで Confluence Server / Confluence Data Center を実行している場合 をご確認ください。 

 

Confluence Server および Confluence Data Center -  OGNLインジェクション (CVE-2021-26084)

要約

CVE-2021-26084  -  Confluence Server Webwork OGNL injection

アドバイザリのリリース日

Aug 25, 2021 午前10時 (PDT)

対象製品

  • Confluence Server

  • Confluence Data Center

Confluence Cloud のお客様は影響を受けません。

影響するバージョン

  • すべての 4.x.x / 5.x.x バージョン

  • すべての 6.0.x - 6.12.x バージョン

  • 6.13.0 - 6.13.22 バージョン

  • すべての 6.14.x - 6.15.x バージョン

  • すべての 7.0.x -7.3.x バージョン

  • 7.4.0 - 7.4.10 バージョン

  • すべての 7.5.x - 7.10.x バージョン

  • 7.11.0 - 7.11.5 バージョン

  • 7.12.0 - 7.12.4 バージョン

修正済みのバージョン

  • 6.13.23

  • 7.4.11

  • 7.11.6

  • 7.12.5

  • 7.13.0

CVE ID(s)


脆弱性の概要

このアドバイザリでは、Confluence Server / Confluence Data Center における重大なセキュリティ脆弱性について発表します。
影響を受ける Confluence Server およびConfluence Data Center のバージョンは、上記の表に記載されています (「影響するバージョン」を参照)。

Confluence Cloud は、このページに記載されている脆弱性の影響を受けません。

バージョン 6.13.23、7.11.6、7.12.5、7.13.0、または 7.4.11 にアップグレードしたお客様は影響を受けません。

上記の「影響するバージョン」をダウンロード・インストールしているお客様については、この脆弱性を修正するために、Confluence Server / Confluence Data Center をただちにアップグレードしてください。
即座に行うことが難しい場合や、アップグレード計画中の場合は、以降に記載している緩和策を適用してください。

重大度

アトラシアンでは、セキュリティ問題の深刻度 に公開されている基準に従い、この脆弱性の重大度レベルを クリティカル (重大) と評価しています。この評価は、重大、高、中、低 の段階でランク付けします。

これは Atlassian 社の評価であり、実際の影響はお客さまの環境において調査していただく必要があります。

脆弱性の説明

認証されていないユーザー が、Confluence Server または Data Center インスタンスで任意のコードを実行できる、OGNL インジェクションの脆弱性が存在します。

上述の修正済みバージョンよりも前のすべての Confluence Server および Confluence Data Center がこの脆弱性の影響を受けます。

この脆弱性は右記の課題で追跡できます。https://jira.atlassian.com/browse/CONFSERVER-67940

修正

この問題を受けて次の対応を行っています。

  • この問題の修正を含む、バージョン6.13.23、7.4.11、7.11.6、7.12.5、および 7.13.0 のリリース

これらのバージョンは以下のサイトでダウンロードできます。

あなたがすべきこと

アトラシアンでは、最新の長期サポートリリース(以降 LTS)にアップグレードすることを推奨します。最新バージョンの詳細については Confluence Server および Data Center のリリースノート をご確認ください。最新バージョンはダウンロードセンターからダウンロードできます。

 

影響を受けるバージョンを実行している場合、バージョン7.13.0 (LTS) 以降にアップグレードします。

  • 6.13.x バージョンを利用していて 7.13.0 (LTS)  にアップグレードできない場合は、バージョン 6.13.23へアップグレードします。

  • 7.4.x バージョンを実行していて 7.13.0 (LTS) にアップグレードできない場合は、バージョン 7.4.11へアップグレードします。

  • 7.11.x バージョンを実行していて 7.13.0 (LTS) にアップグレードできない場合は、バージョン 7.11.6へアップグレードします。

  • 7.12.x バージョンを実行していて 7.13.0 (LTS) にアップグレードできない場合は、バージョン 7.12.5へアップグレードします。

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ