CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 の FAQ

一般情報

このページでは、Log4j に影響する脆弱性である CVE-2021-44228 に関連して、最近公開されたセキュリティ勧告「複数の製品のセキュリティ勧告 - リモート コード実行に関する Log4j の脆弱性 - CVE-2021-44228 」について、よくある質問と回答をご案内します。また、関連する脆弱性である CVE-2021-45046 および CVE-2021-45105 についてのガイダンスも含みます。

クラウド インスタンスは影響を受けますか?

いいえ、アトラシアン製品のお客様が脆弱性の影響を受けることはなく、アクションは不要です。脆弱性の影響を受ける Log4j のバージョンを利用していたすべてのアトラシアン クラウド製品で、脆弱性が軽減されています。なお、弊社の分析では、これらのシステムにパッチを当てる前の時点で、アトラシアン システムや顧客データへの侵害は確認されていません。

オンプレミスの Server/Data Center インスタンスは影響を受けますか?

当社のセキュリティ チームが Log4j のリモート コード実行の脆弱性 (CVE-2021-44228) の影響を調査し、アトラシアン オンプレミス製品に CVE-2021-44228 の影響を受けるものはないことを確認しました。

一部のオンプレミス製品は、アトラシアンがメンテナンスしている Log4j 1.2.17 のフォークを使用していますが、これは CVE-2021-44228 の影響を受けません。アトラシアンではこのフォークについて追加の分析を行って類似の脆弱性を新しく確認していますが、これは信頼できるパーティのみが悪用できます。このため、アトラシアンではオンプレミス製品の深刻度を低とレーティングしています。特に、Log4j 1.x を使用するアトラシアン製品は、次の非デフォルト設定のすべてが利用されている場合にのみ影響を受けます。

• アプリケーションの Log4j 構成で JMS Appender が構成されている

• javax.jms API がアプリケーションのCLASSPATH (例: Jira では<install>/WEB-INF/lib サブディレクトリ) に含まれている

• JMS Appender がサードパーティへの JNDI ルックアップで構成されている。注: これは、信頼されたユーザーによるアプリケーション構成の変更か、信頼されたコードによるランタイム中のプロパティ設定でのみ行なえます

次の製品は、Log4j 1.2.17 のアトラシアンがメンテナンスしているフォークを使用しています。

• Bamboo Server と Data Center

• Confluence Server と Data Center

• Crowd Server と Data Center

• FishEye / Crucible

• Jira Server と Data Center

脆弱性の影響を受ける可能性は、Log4j 構成ファイルを点検することで確認できます。org.apache.log4j.net.JMSAppenderを含む行があった場合は脆弱性の影響を受ける可能性があります。org.apache.log4j.net.JMSAppenderを含む行がない場合、この特定の脆弱な構成はありません。

この脆弱性を軽減するにはどうすればよいですか?

JMS Appender によって提供される機能を利用している場合、org.apache.log4j.net.JMSAppender を活用する構成済みのアペンダーを一時的に無効化することで、脆弱性の影響を可能な限り早急に軽減することを推奨します。これを行うには、Log4j の構成ファイルで関連する行をコメント アウトして、アプリケーションを再起動します。Data Center 環境の場合、影響を受ける構成ファイルを更新したあとに、ノードのローリング再起動が必要です。

各製品の Log4j 設定ファイルのデフォルトの場所を次の表に示します。

Bitbucket Server/Data Center は Log4j を使用している製品の一覧に含まれていないようですが、インストール ディレクトリを確認すると Log4j の JAR ファイルが存在します。このインスタンスは脆弱性の影響を受けているのでしょうか?

Bitbucket Server も Data Center も Log4j は使用していません。これらでは Logback を使用しています。これらのファイルは、Log4j コンポーネントをロギング フレームワークに利用できるようにするように存在しますが、これらに脆弱性はありません。

アトラシアンでは 2021 年 12 月 16 日にセキュリティ勧告を更新し、Bitbucket Server および Data Center は、Bitbucket にバンドルされている Elasticsearch の使用を通じて脆弱性の影響を受けることを強調しています。修正済みバージョンへのアップグレード方法や、それまでの期間における脆弱性の軽減方法を、次のページでご確認ください。複数の製品のセキュリティ勧告 - リモート コード実行に関する Log4j の脆弱性 - CVE-2021-44228

引き続き Bitbucket Server/Data Center について、JAR ファイルを削除するべきですか?

いいえ、JAR ファイルは削除しないでください。JAR を削除しても Bitbucket のコア機能への影響はありませんが、アトラシアン エコシステムのアプリを含む、他のアプリが影響を受ける可能性があります。製品内で Log4j の API (v1 または v2) を使うアプリは、ログの記録には Logback を使用します。

自社のシステムが攻撃されているかどうかをどのように確認できますか?

恐縮ながら、お客様のインスタンスが攻撃を受けたかどうかを弊社側で確認することはできません。セキュリティ侵害にはさまざまなものが考えられます。詳細な調査が必要な場合、内部のセキュリティ チームまたは専門のセキュリティ フォレンジック機関にご依頼いただくことを強く推奨します。

アトラシアン製品は、関連する脆弱性である CVE-2021-45046 と CVE-2021-45105 の影響を受けますか?

Log4j の非デフォルト構成で、関連する次の 2 つの脆弱性が発見されました。

• 2.0-beta9 から 2.15.0 (これらを含む) が CVE-2021-45046 の影響を受けます

• 2.0-alpha1 から 2.16.0 (2.12.3 を除く) は CVE-2021-45105 の影響を受けます

アトラシアンのセキュリティ チームは、アトラシアン製品やサービスで利用されている構成において、これらいずれかの脆弱性を含む構成を発見していません。いずれの脆弱性も、この FAQ でご説明している、アトラシアンが保持している Log4j 1.x のフォークには適用されません。

脆弱性の影響を受ける構成を利用しているかどうかにかかわらず、アトラシアンでは log4j 2.17.0 以降にアップグレードすることで CVE-2021-45046 および CVE-2021-45105 に対応します。この対応のタイミングはアトラシアン セキュリティ バグ修正ポリシーに従います。

アトラシアン製品は CVE-2021-44832 の影響を受けますか?

CVE-2021-44832 は、アトラシアンがメンテナンスしている Log4j 1.2.17 のフォークには影響しません。

Bitbucket にバンドルされている Elasticsearch (または DC 用のスタンドアロン Elasticsearch インスタンス) は、Elastic Security Advisory ESA-2021-31 によると、CVE-2021-44832 の影響を受けません。

CVE-2021-44832 を悪用するには、攻撃者が log4j 構成ファイルを変更するための上位の権限を持っている必要があることに注意してください。これは、CVE-2021-44228 のようなクリティカルな脆弱性ではありません。National Vulnerability Databaseにより、CVSSv3 ベースのスコアで 6.6 (中程度) が割り当てられています。

アトラシアン プラグイン SDK は CVE-2021-44228 または CVE-2021-44832 の脆弱性の影響を受けますか?

アトラシアン プラグイン SDK は Log4j 1.x を使用しているため、CVE-2021-44228 または CVE-2021-44832 の影響を受けません。