Atlassian fixed critical flaws in Confluence and Crowd
2025/02/21 SecurityAffairs — Atlassian が公表したのは、Bamboo/Bitbucket/Confluence/Crowd/Jira などの各製品に存在する、12 件の脆弱性に対処するセキュリティ・パッチのリリースである。一連の脆弱性の深刻度は、Critical および High と評価されており、リモート・コード実行/不適切な認証管理/競合状態などを引き起こす可能性があるものだ。
同社が対処した脆弱性の中で、深刻とされる脆弱性は以下のとおりである:
CVE-2024-50379 (CVSS:9.8):RCE (リモートコード実行)
Confluence Data Center/Server における org.apache.tomcat:tomcat-catalina 依存関係の問題。この脆弱性は、Apache Tomcat の TOCTOU 競合状態であり、大文字/小文字を区別しないファイル・システムにおいて、非デフォルトの書き込み可能サーブレットを用いる RCE を許してしまう。問題解決のためには、11.0.2/10.1.34/9.0.98 への更新が必要。
CVE-2024-56337:(CVSS:9.8):(リモートコード実行)
Confluence Data Center/Server における org.apache.tomcat:tomcat-catalina 依存関係の問題。この脆弱性は、Apache Tomcat の TOCTOU 競合状態であり、CVE-2024-50379 に対する不完全な緩和策が原因である。この脆弱性の悪用の前提として、大文字と小文字を区別しないファイル・システムの追加コンフィグが必要となる。問題解決のためには、11.0.3/10.1.35/9.0.99 への更新が必要。
CVE-2024-52316 (CVSS:9.8):BASM (認証/セッション管理の不具合)
Crowd Data Center/Server における org.apache.tomcat:tomcat-catalina 依存関係の問題。 HTTP ステータス設定の欠落により、カスタムな ServerAuthContext が失敗した場合に、Apache Tomcat の Jakarta Authentication が認証バイパスを許可する可能性がある。影響の範囲は、バージョン 9.0.0-M1~9.0.95/10.1.0-M1~10.1.30/11.0.0-M1~11.0.0-M26 となる。問題解決のためには、9.0.96/10.1.31/11.0.0 への更新が必要。
CVE-2024-50379 (CVSS:9.8):TOCTOU 競合状態
Apache Tomcat の TOCTOU 競合状態により、大文字と小文字を区別しないファイル ・システムにおいて RCE が許可されてしまう。影響の範囲は、バージョン 9.0.0.M1~9.0.97/10.1.0-M1~10.1.33/11.0.0-M1~11.0.1 となる。問題解決のためには、9.0.98/10.1.34/11.0.2 への更新が必要。
CVE-2024-56337 (CVSS:9.8):TOCTOU 競合状態
Apache Tomcat における、TOCTOU 競合状態の脆弱性 CVE-2024-50379 に対する、不完全な修正が原因。影響の範囲は、バージョン 9.0.0-M1~9.0.97/10.1.0-M1~10.1.33/11.0.0-M1~11.0.1 となる。書き込み可能なデフォルト・サーブレットを持つ。大文字と小文字を区別しないファイル・システムのユーザーは、追加の Java 固有の緩和策が必要となる。Tomcat 9.0.99/10.1.35/11.0.3 で修正されている。
Atlassian は、これらの脆弱性における、実際の攻撃での悪用については明らかにしていない。
CVE の重複があり、ちょっと混乱している感じの記事です。Atlassian のアドバイザリでは、Confluence と Crowd に同じ CVE が出てくるので、それを反映する記事構成になっているのだろうと思います。正確な情報を得るためには、Atlassian アドバイザリの参照が不可欠です。よろしければ、Atlassian で検索も、併せてご利用ください。
IoT OT Security News 
You must be logged in to post a comment.