「Confluence Server」および「Confluence Data Center」に複数の脆弱性(JPCERT/CC)
JPCERT/CCは、「Confluence ServerおよびConfluence Data Centerにおける複数の脆弱性に関する注意喚起」を発表した。
脆弱性と脅威
15views
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は4月17日、「Confluence ServerおよびConfluence Data Centerにおける複数の脆弱性に関する注意喚起」を発表した。これは、開発元であるAtlassianからセキュリティアドバイザリが公開されたことを受けたもの。
Confluence ServerおよびConfluence Data Centerが使用するWebDAV pluginには、サーバサイドリクエストフォージェリの脆弱性があり、また Widget Connectorには、サーバサイドテンプレートインジェクションの脆弱性がある可能性がある。これらの脆弱性が悪用されると、リモートの第三者にコードを実行されるなども影響を受ける可能性がある。
対象となるバージョンは次の通り。
・Confluence Server および Data Center 6.14.2 より前の 6.14 系のバージョン ・Confluence Server および Data Center 6.13.3 より前の 6.13 系のバージョン ・Confluence Server および Data Center 6.12.3 より前の 6.12 系のバージョン ・Confluence Server および Data Center 6.11 系のバージョン ・Confluence Server および Data Center 6.10 系のバージョン ・Confluence Server および Data Center 6.9 系のバージョン ・Confluence Server および Data Center 6.8 系のバージョン ・Confluence Server および Data Center 6.7 系のバージョン ・Confluence Server および Data Center 6.6.12 より前の 6.6 系のバージョン ・Confluence Server および Data Center 6.5 系のバージョン ・Confluence Server および Data Center 6.4 系のバージョン ・Confluence Server および Data Center 6.3 系のバージョン ・Confluence Server および Data Center 6.2 系のバージョン
なお、すでにサポートが終了している「Confluence Server および Data Center 6.1 系以前のバージョン」も本脆弱性の影響を受ける。Atlassianでは、本脆弱性の影響を受けない最新バージョンの「Confluence Server および Data Center 6.15.1」へのアップグレードを推奨している。また、6.7系から6.11系までのバージョンや、6.5系およびそれ以前のバージョンを使用している場合は、アップグレードを推奨している。
《吉澤 亨史( Kouji Yoshizawa )》
