Smartphone Magazine

News

新しいタイトル

ByRoman Głogulski

2024-01-27
CISA dodaje błąd Atlassian Confluence Data Center do swojego katalogu Znanych Wykorzystywanych Wulneralności

Atlassian Confluenceの脆弱性に関するCISAの最新報告

CISA(サイバーセキュリティおよびインフラストラクチャセキュリティ機関)は、Atlassian Confluence Data CenterおよびServerのテンプレートインジェクション脆弱性を、既知の悪用された脆弱性(KEV)カタログに追加しました。

Atlassianは最近、Confluence Data CenterおよびConfluence Serverの古いバージョンに影響を与える重大なリモートコード実行の脆弱性(CVE-2023-22527)について警告を発表しました。

この脆弱性は、テンプレートインジェクションの欠陥であり、リモート攻撃者が脆弱なConfluenceインストールで任意のコードを実行することができます。

この脆弱性は、Confluence Data CenterおよびServerのバージョン8.0.x、8.1.x、8.2.x、8.3.x、8.4.x、8.5.0から8.5.3に影響を与えます。最新のサポートされているバージョンのConfluence Data CenterおよびServerには影響しません。

製造元の発表によると、「未更新のConfluence Data CenterおよびServerのバージョンにおけるテンプレートインジェクションの脆弱性により、未認証の攻撃者が影響を受けるバージョンでリモートでコードを実行できます。影響を受けるバージョンを使用している顧客は直ちに行動を起こす必要があります。」と述べています。「このリモートコード実行(RCE)の脆弱性は、当社のセキュリティバグ修正ポリシーに従って、2023年12月5日以前にリリースされた古いConfluence Data CenterおよびServer 8バージョン、および8.4.5に影響を与えます。Atlassianでは最新バージョンへのアップデートを推奨しています。」

企業は、バージョン8.5.4(LTS)、8.6.0(Data Centerのみ)、および8.7.1(Data Centerのみ)でこの脆弱性を修正しました。

Atlassianは顧客に最新バージョンのインストールを推奨しています。

セキュリティアドバイザリによれば、この脆弱性を修正するための既知の回避策や緩和策はありません。

Binding Operational Directive(BOD)22-01「既知の悪用された脆弱性の緩和」によれば、連邦省庁は特定の時間枠内に識別された脆弱性に対処する必要があり、ネットワークが悪用されることから保護される必要があります。

専門家はまた、民間組織に対しても、自社のインフラストラクチャの脆弱性を見直し、対策を行うことを勧告しています。

CISAは政府機関に対して、この脆弱性を2024年2月14日までに修正するよう指示しています。

FAQ:

1. Atlassianに関連するセキュリティ上の欠陥とは何ですか?

この記事は、Atlassian Confluence Data CenterおよびConfluence Serverのテンプレートインジェクションの脆弱性に関する問題を取り上げています。

2. Atlassian Confluenceで発見された脆弱性は何ですか?

古いバージョンのConfluence Data CenterおよびConfluence Serverで特定された重大なリモートコード実行の脆弱性(CVE-2023-22527)が発見されました。

3. この脆弱性はどのように悪用されますか?

テンプレートインジェクションにより、リモート攻撃者は脆弱なConfluenceインストールで任意のコードを実行することができます。

4. どのバージョンのConfluenceが脆弱ですか?

Confluence Data CenterおよびServerのバージョン8.0.xから8.5.3までが脆弱です。最新のサポートされているバージョンは影響を受けません。

5. 製造元はこの脆弱性の修正プログラムをリリースしましたか?

はい、製造元はバージョン8.5.4(LTS)、8.6.0(Data Centerのみ)、および8.7.1(Data Centerのみ)でこの脆弱性の修正プログラムをリリースしました。顧客には最新のバージョンのインストールが推奨されています。

6. この脆弱性をバイパスする方法やセキュリティ対策はありますか?

製造元の情報によれば、この脆弱性を修正するための既知の回避策や緩和策はありません。

7. 政府機関がこの脆弱性を修正するための締め切りはいつですか?

CISAは政府機関に対して、この脆弱性を2024年2月14日までに修正するよう指示しています。

キーの定義:

– Atlassian Confluence:組織内の知識管理と協働のためのプラットフォーム。
– テンプレートインジェクションの脆弱性:悪意のあるテンプレートを代用することによってアプリケーションにコードを注入するセキュリティ上の欠陥。
– CVE-2023-22527:特定の脆弱性に割り当てられた識別番号。
– CVSS:脆弱性の深刻度を評価するためのスケール(0-10で、10が最も高い脅威レベルを示す)。
– Data Center:大企業や組織向けに設計されたAtlassian Confluenceのバージョン。
– Server:個々のサーバー向けに設計されたAtlassian Confluenceのバージョン。

関連リンク:

– Atlassianホームページ
– Confluence製品ページ

The source of the article is from the blog macholevante.com

Web Story

ByRoman Głogulski

Related Post

Bez kategorii

スマートフォン向け暗号資産ウォレットの種類と選び方のポイント

2024-08-22 marcin
Bez kategorii

Android vs iPhone: 2024年ゲーミングスマホにどちらを選ぶべきか

2024-08-21 marcin
Bez kategorii

最新のGeForce RTX 4070 Ti SUPER – RTX 4080に対する真の競争相手

2024-01-18 Roman Głogulski

You missed

News

2023年モデル Moto G Stylus 5G の特別割引

2024-10-13 Michał Nawrocki 0 Comments
News

手頃なスマートフォンの未来:長寿命とパフォーマンス

2024-10-13 Roman Głogulski 0 Comments
News

6Gの未来を探る:インサイトと機会

2024-10-13 Roman Głogulski 0 Comments
News

中国モバイル年次会議で発表された革新的な技術

2024-10-13 Roman Głogulski 0 Comments