「Confluence Server」および「Confluence Data Center」に複数の脆弱性(JPCERT/CC) | ScanNetSecurity
2020.01.21(火)

「Confluence Server」および「Confluence Data Center」に複数の脆弱性(JPCERT/CC)

JPCERT/CCは、「Confluence ServerおよびConfluence Data Centerにおける複数の脆弱性に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は4月17日、「Confluence ServerおよびConfluence Data Centerにおける複数の脆弱性に関する注意喚起」を発表した。これは、開発元であるAtlassianからセキュリティアドバイザリが公開されたことを受けたもの。

Confluence ServerおよびConfluence Data Centerが使用するWebDAV pluginには、サーバサイドリクエストフォージェリの脆弱性があり、また Widget Connectorには、サーバサイドテンプレートインジェクションの脆弱性がある可能性がある。これらの脆弱性が悪用されると、リモートの第三者にコードを実行されるなども影響を受ける可能性がある。

対象となるバージョンは次の通り。

・Confluence Server および Data Center 6.14.2 より前の 6.14 系のバージョン
・Confluence Server および Data Center 6.13.3 より前の 6.13 系のバージョン
・Confluence Server および Data Center 6.12.3 より前の 6.12 系のバージョン
・Confluence Server および Data Center 6.11 系のバージョン
・Confluence Server および Data Center 6.10 系のバージョン
・Confluence Server および Data Center 6.9 系のバージョン
・Confluence Server および Data Center 6.8 系のバージョン
・Confluence Server および Data Center 6.7 系のバージョン
・Confluence Server および Data Center 6.6.12 より前の 6.6 系のバージョン
・Confluence Server および Data Center 6.5 系のバージョン
・Confluence Server および Data Center 6.4 系のバージョン
・Confluence Server および Data Center 6.3 系のバージョン
・Confluence Server および Data Center 6.2 系のバージョン

なお、すでにサポートが終了している「Confluence Server および Data Center 6.1 系以前のバージョン」も本脆弱性の影響を受ける。Atlassianでは、本脆弱性の影響を受けない最新バージョンの「Confluence Server および Data Center 6.15.1」へのアップグレードを推奨している。また、6.7系から6.11系までのバージョンや、6.5系およびそれ以前のバージョンを使用している場合は、アップグレードを推奨している。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×