I. 概要
2021年8月25日(現地時間)、Atlassianは、Confluence ServerおよびDataCenterの脆弱性(CVE-2021-26084)に関するセキュリティアドバイザリを公開しました。
アドバイザリによると、Confluence ServerおよびData Centerには、OGNLインジェクションの脆弱性があります。
本脆弱性を悪用することで、認証されていない遠隔の第三者が任意のコードを実行する可能性があります。
脆弱性の詳細については、Atlassianの情報を確認してください。
参考:https://www.jpcert.or.jp/at/2021/at210037.html

Atlassian
Confluence Security Advisory – 2021-08-25
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

2021年9月2日(日本時間)、JPCERT/CCは、本脆弱性の詳細を解説する記事や、脆弱性を悪用するとみられる実証コードが公開されていることを確認しています。
当該製品を利用している場合には、バージョンアップや回避策の適用などの対応実施を検討することを推奨します。


II. 対象
対象となる製品とバージョンは次のとおりです。

– Confluence ServerおよびData Center 7.12.5より前の7.12系のバージョン
– Confluence ServerおよびData Center 7.11.6より前の7.11系のバージョン
– Confluence ServerおよびData Center 7.10系のバージョン
– Confluence ServerおよびData Center 7.9系のバージョン
– Confluence ServerおよびData Center 7.8系のバージョン
– Confluence ServerおよびData Center 7.7系のバージョン
– Confluence ServerおよびData Center 7.6系のバージョン
– Confluence ServerおよびData Center 7.5系のバージョン
– Confluence ServerおよびData Center 7.4.11より前の7.4系のバージョン
– Confluence ServerおよびData Center 7.3系のバージョン
– Confluence ServerおよびData Center 7.2系のバージョン
– Confluence ServerおよびData Center 7.1系のバージョン
– Confluence ServerおよびData Center 7.0系のバージョン
– Confluence ServerおよびData Center 6.15系のバージョン
– Confluence ServerおよびData Center 6.14系のバージョン
– Confluence ServerおよびData Center 6.13.23より前の6.13系のバージョン

なお、すでにサポートが終了しているConfluence ServerおよびData Center6.13系以前のバージョンも本脆弱性の影響を受けるとのことです。
また、Confluence Cloudは本脆弱性の影響を受けないとのことです。


III. 対策
Atlassianから本脆弱性を修正したバージョンが公開されています。
十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。

– Confluence ServerおよびData Center 7.13.0
– Confluence ServerおよびData Center 7.12.5
– Confluence ServerおよびData Center 7.11.6
– Confluence ServerおよびData Center 7.4.11
– Confluence ServerおよびData Center 6.13.23


IV. 回避策
Confluence ServerおよびData Centerに修正済みバージョンを適用することが難しい場合、一時的な回避策として、脆弱性の影響を軽減するためのスクリプトがAtlassianから提供されています。
詳細は、Atlassianの情報を確認してください。


V. 参考情報
Atlassian
Confluence Security Advisory – 2021-08-25
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

Atlassian
Atlassian Support End of Life Policy
https://confluence.atlassian.com/support/atlassian-support-end-of-life-policy-201851003.html