「Confluence Server」および「Confluence Data Center」に複数の脆弱性(JPCERT/CC) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.05.24(金)

「Confluence Server」および「Confluence Data Center」に複数の脆弱性(JPCERT/CC)

JPCERT/CCは、「Confluence ServerおよびConfluence Data Centerにおける複数の脆弱性に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は4月17日、「Confluence ServerおよびConfluence Data Centerにおける複数の脆弱性に関する注意喚起」を発表した。これは、開発元であるAtlassianからセキュリティアドバイザリが公開されたことを受けたもの。

Confluence ServerおよびConfluence Data Centerが使用するWebDAV pluginには、サーバサイドリクエストフォージェリの脆弱性があり、また Widget Connectorには、サーバサイドテンプレートインジェクションの脆弱性がある可能性がある。これらの脆弱性が悪用されると、リモートの第三者にコードを実行されるなども影響を受ける可能性がある。

対象となるバージョンは次の通り。

・Confluence Server および Data Center 6.14.2 より前の 6.14 系のバージョン
・Confluence Server および Data Center 6.13.3 より前の 6.13 系のバージョン
・Confluence Server および Data Center 6.12.3 より前の 6.12 系のバージョン
・Confluence Server および Data Center 6.11 系のバージョン
・Confluence Server および Data Center 6.10 系のバージョン
・Confluence Server および Data Center 6.9 系のバージョン
・Confluence Server および Data Center 6.8 系のバージョン
・Confluence Server および Data Center 6.7 系のバージョン
・Confluence Server および Data Center 6.6.12 より前の 6.6 系のバージョン
・Confluence Server および Data Center 6.5 系のバージョン
・Confluence Server および Data Center 6.4 系のバージョン
・Confluence Server および Data Center 6.3 系のバージョン
・Confluence Server および Data Center 6.2 系のバージョン

なお、すでにサポートが終了している「Confluence Server および Data Center 6.1 系以前のバージョン」も本脆弱性の影響を受ける。Atlassianでは、本脆弱性の影響を受けない最新バージョンの「Confluence Server および Data Center 6.15.1」へのアップグレードを推奨している。また、6.7系から6.11系までのバージョンや、6.5系およびそれ以前のバージョンを使用している場合は、アップグレードを推奨している。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×