トップ セキュリティ情報 2022年度 【注意喚起】 Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起

【注意喚起】 Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起

2022年6月3日 南大沢 日野 荒川

※情報が更新されている可能性がありますので、最新情報は以下を参照ください。
https://www.jpcert.or.jp/at/2022/at220015.html
 引用元: JPCERTコーディネーションセンター 注意喚起

Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)に関する注意喚起がありました。

I. 概要
2022年6月2日(現地時間)、AtlassianはConfluence ServerおよびDataCenterの脆弱性(CVE-2022-26134)に関するセキュリティアドバイザリを公開しました。本脆弱性を悪用することで、認証されていない遠隔の第三者が任意のコードを実行する可能性があります。脆弱性の詳細や最新の対策情報などについては、Atlassianの情報を確認してください。

 Atlassian
 Confluence Server and Data Center - CVE-2022-26134 - Critical severity unauthenticated remote code execution vulnerability
 https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Atlassianは、本脆弱性を悪用する攻撃を確認しています。影響を受ける製品を利用している場合、Atlassianなどから公開される関連情報を注視の上、対策や回避策の適用を速やかに検討いただくことを推奨します。


II. 対象
対象となる製品は次のとおりです。影響を受けるバージョンなどの最新の情報についてはAtlassianからの情報をご確認ください。

 Confluence
 - Confluence Server
 - Confluence Data Center


III. 対策
2022年6月3日現在、Atlassianから本脆弱性を修正したバージョンは公開されていません。Atlassianからの情報を注視の上、対策バージョンが公開され次第、速やかに適用を検討いただくことを推奨します。


IV. 回避策
対策バージョンが公開されるまでの暫定策として、Atlassianから次の対応の実施が推奨されています。

 Confluence
 - Confluence ServerおよびConfluence Data Centerへのインターネットからの接続を制限する
 - Confluence ServerおよびConfluence Data Centerを一時的に無効にする


V. 参考情報
 Volexity
 Zero-Day Exploitation of Atlassian Confluence
 https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

 Atlassian
 アトラシアン サポート終了 (EOL) ポリシー
 https://ja.confluence.atlassian.com/support/atlassian-support-end-of-life-policy-201851003.html

ページ上部へ戻る