-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2022-0015 JPCERT/CC 2022-06-03(新規) 2022-06-06(更新) <<< JPCERT/CC Alert 2022-06-03 >>> Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起 https://www.jpcert.or.jp/at/2022/at220015.html I. 概要 2022年6月2日(現地時間)、AtlassianはConfluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関するセキュリティアドバイザリを公開 しました。本脆弱性を悪用することで、認証されていない遠隔の第三者が任意 のコードを実行する可能性があります。脆弱性の詳細や最新の対策情報などに ついては、Atlassianの情報を確認してください。 Atlassian Confluence Server and Data Center - CVE-2022-26134 - Critical severity unauthenticated remote code execution vulnerability https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html Atlassianは、本脆弱性を悪用する攻撃を確認しています。影響を受ける製品 を利用している場合、Atlassianなどから公開される関連情報を注視の上、対 策や回避策の適用を速やかに検討いただくことを推奨します。 ** 更新: 2022年6月6日追記 ******************************************** アトラシアン株式会社 Confluence Server および Data Center - CVE-2022-26134 -未認証のリモート コード実行についての重大な深刻度の脆弱性 https://ja.confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html ********************************************************************** II. 対象 対象となる製品は次のとおりです。影響を受けるバージョンなどの最新の情報 についてはAtlassianからの情報をご確認ください。 Confluence - Confluence Server - Confluence Data Center III. 対策 2022年6月3日現在、Atlassianから本脆弱性を修正したバージョンは公開されて いません。Atlassianからの情報を注視の上、対策バージョンが公開され次第、 速やかに適用を検討いただくことを推奨します。 ** 更新: 2022年6月6日追記 ******************************************** 2022年6月3日(現地時間)、Atlassianから本脆弱性を修正したバージョンが 公開されました。Atlassianの情報を参考に対策バージョンを適用することを 推奨します。 ********************************************************************** IV. 回避策 対策バージョンが公開されるまでの暫定策として、Atlassianから次の対応の実 施が推奨されています。 - Confluence ServerおよびConfluence Data Centerへのインターネットからの接続を制限する - Confluence ServerおよびConfluence Data Centerを一時的に無効にする ** 更新: 2022年6月6日追記 ******************************************** 2022年6月3日(現地時間)、Atlassianから本脆弱性の軽減策として、jarや classファイルを置き換える方法が紹介されています。対策をすぐに適用でき ない場合の回避策として参考にしてください。 ********************************************************************** V. 参考情報 Volexity Zero-Day Exploitation of Atlassian Confluence https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/ Atlassian アトラシアン サポート終了 (EOL) ポリシー https://ja.confluence.atlassian.com/support/atlassian-support-end-of-life-policy-201851003.html 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ________ 改訂履歴 2022-06-03 初版 2022-06-06 「I. 概要」「III. 対策、対応」「IV. 回避策」の追記 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJinVQyAAoJEDoQgdvpn3qqjWEP/RJbrOjHUyMqBvKAFguFmwRl Vyv87fOff9q3ZGBC6froHheqbZ2Mc3g/SJORd3DRn+xYrkcgKxA531AzCS3iV4bE mbspdkACP5hA8prTrVAWmuU2O86qWYJXBR5giDfnd8tEjG/+F4avvtvgLpxBvybp 4tlqGQ0+e8g5EJcExUe+D/uKbn6GvZ/DM87fjOsQn6xrw5pI1+S3AISQgAUNNq9I ePgiojou/ma3PK0SDLzE+/yxCPh6SCDm1xlFPVUe7ureGbcvrin7Xy4SAZg06tRn vWbFfcfYYx1Tt6pZ36X4jKbIzpy0ymtcongY60xXg8x3yhKmPslyO3d2jWf+8kgh OJ/urXukZP160sqmzOu0fpCvoMwyxMtwKr49ndvvmgdZpP981fKlRgLA2d3AFOkx 7QPqXMWg1V6t3KFvbKVcuRPNSN4WzQR7bBC/+CZjdYSEDG9RmHJBo/9ue0g2s8U4 MrDRmnIdP9i6X+zj9AC7FJP7J5TdN4iur95VkDDl8RVIPDh1ap1AX9no/p5+nrn2 DQRW2L66eIpszjjdT1OjKGbfWISmQXxi0Fxqda4X2qr4IDmtX6SpHHsbXh5DIGIX xuz5QFNPZ8pZ/vjmNrB0oeBFwI3/ygiOTC1CJMhnJ8N7rB+4f5F0dIOnE3g0Ztjd 4yXrwP5P2M6TqWyJWKxt =SZuc -----END PGP SIGNATURE-----