Confluence Server及びData Centerの脆弱性に注意喚起
一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月2日、Confluence Server及びData Centerの脆弱性に関する注意喚起を発表した。影響を受けるシステムは以下の通り。
脆弱性と脅威
セキュリティホール・脆弱性
Confluence ServerおよびData Center 7.12.5より前の7.12系のバージョン
Confluence ServerおよびData Center 7.11.6より前の7.11系のバージョン
Confluence ServerおよびData Center 7.10系のバージョン
Confluence ServerおよびData Center 7.9系のバージョン
Confluence ServerおよびData Center 7.8系のバージョン
Confluence ServerおよびData Center 7.7系のバージョン
Confluence ServerおよびData Center 7.6系のバージョン
Confluence ServerおよびData Center 7.5系のバージョン
Confluence ServerおよびData Center 7.4.11より前の7.4系のバージョン
Confluence ServerおよびData Center 7.3系のバージョン
Confluence ServerおよびData Center 7.2系のバージョン
Confluence ServerおよびData Center 7.1系のバージョン
Confluence ServerおよびData Center 7.0系のバージョン
Confluence ServerおよびData Center 6.15系のバージョン
Confluence ServerおよびData Center 6.14系のバージョン
Confluence ServerおよびData Center 6.13.23より前の6.13系のバージョン
Atlassianは現地時間8月25日に、Confluence Server及びData Centerの脆弱性(CVE-2021-26084)に関するセキュリティアドバイザリを公開、これらにはOGNLインジェクションの脆弱性があり、本脆弱性を悪用することで認証されていない遠隔の第三者が任意のコードを実行する可能性がある。
JPCERT/CCでは日本時間9月2日時点で、本脆弱性の詳細を解説する記事や、脆弱性を悪用するとみられる実証コードの公開を確認している。
Atlassianでは本脆弱性を修正した下記のバージョンを公開しており、十分なテストを実施の上で、修正済みバージョンを適用をJPCERT/CCでは推奨している。なお、修正済みバージョンの適用が難しい場合は、一時的な回避策として、脆弱性の影響を軽減するためのスクリプトがAtlassianから提供されている。
Confluence ServerおよびData Center 7.13.0
Confluence ServerおよびData Center 7.12.5
Confluence ServerおよびData Center 7.11.6
Confluence ServerおよびData Center 7.4.11
Confluence ServerおよびData Center 6.13.23
《ScanNetSecurity》