Confluence Server及びData Centerの脆弱性に注意喚起 | ScanNetSecurity
2024.03.29(金)

Confluence Server及びData Centerの脆弱性に注意喚起

一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月2日、Confluence Server及びData Centerの脆弱性に関する注意喚起を発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性
 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月2日、Confluence Server及びData Centerの脆弱性に関する注意喚起を発表した。影響を受けるシステムは以下の通り。

Confluence ServerおよびData Center 7.12.5より前の7.12系のバージョン
Confluence ServerおよびData Center 7.11.6より前の7.11系のバージョン
Confluence ServerおよびData Center 7.10系のバージョン
Confluence ServerおよびData Center 7.9系のバージョン
Confluence ServerおよびData Center 7.8系のバージョン
Confluence ServerおよびData Center 7.7系のバージョン
Confluence ServerおよびData Center 7.6系のバージョン
Confluence ServerおよびData Center 7.5系のバージョン
Confluence ServerおよびData Center 7.4.11より前の7.4系のバージョン
Confluence ServerおよびData Center 7.3系のバージョン
Confluence ServerおよびData Center 7.2系のバージョン
Confluence ServerおよびData Center 7.1系のバージョン
Confluence ServerおよびData Center 7.0系のバージョン
Confluence ServerおよびData Center 6.15系のバージョン
Confluence ServerおよびData Center 6.14系のバージョン
Confluence ServerおよびData Center 6.13.23より前の6.13系のバージョン

 Atlassianは現地時間8月25日に、Confluence Server及びData Centerの脆弱性(CVE-2021-26084)に関するセキュリティアドバイザリを公開、これらにはOGNLインジェクションの脆弱性があり、本脆弱性を悪用することで認証されていない遠隔の第三者が任意のコードを実行する可能性がある。

 JPCERT/CCでは日本時間9月2日時点で、本脆弱性の詳細を解説する記事や、脆弱性を悪用するとみられる実証コードの公開を確認している。

 Atlassianでは本脆弱性を修正した下記のバージョンを公開しており、十分なテストを実施の上で、修正済みバージョンを適用をJPCERT/CCでは推奨している。なお、修正済みバージョンの適用が難しい場合は、一時的な回避策として、脆弱性の影響を軽減するためのスクリプトがAtlassianから提供されている。

Confluence ServerおよびData Center 7.13.0
Confluence ServerおよびData Center 7.12.5
Confluence ServerおよびData Center 7.11.6
Confluence ServerおよびData Center 7.4.11
Confluence ServerおよびData Center 6.13.23

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る