Confluence のセキュリティの概要とアドバイザリ
このドキュメントは、Confluence Web アプリのセキュリティを評価するシステム管理者向けです。このページでは、アプリのセキュリティ全般について説明しています。一般向けの Web アプリとして、Confluence のアプリレベルのセキュリティは重要です。このドキュメントでは、弊社の製品のセキュリティについてお客様からお問い合わせいただく際によくある質問への回答を説明しています。
お探しのその他のトピック
- For information about user management, groups, and permissions, see the internal security overview.
- Confluence サイトのセキュリティの設定に関するガイドラインについては、管理者ガイドの Confluence セキュリティの設定を参照してください。
- For information about viewing security alerts that are triggered when critical system configurations are modified, see Monitor security threats.
- Confluence (およびすべての Atlassian Server 製品と Data Center 製品) を対象に発行された一般向けのセキュリティ勧告と情報については、アトラシアンのセキュリティ勧告および情報を参照してください。
共同責任モデル
Atlassian believes security is a shared responsibility. We expect Data Center customers to apply security best practices while we deliver a secure product. Not applying our security best practices makes a product more likely to be affected during security incidents.
Use the extensive security checklist developed by the Data Center team to understand your responsibilities as a customer.
アプリケーションセキュリティ概要
パスワードの保存
When Confluence's internal user management is used, since version 3.5 of Confluence passwords are hashed through the salted PKCS5S2 implementation provided by Embedded Crowd before being stored in the database. There is no mechanism within Confluence to retrieve a user's password — when password recovery is performed, a reset password link is generated and mailed to the user's registered address.
外部ユーザー管理が有効になっている場合、パスワードの保存は外部システムが代行します。
Beyond user passwords, starting from version 9.1, Confluence automatically encrypts other passwords and configurations found in files.
On this page:
バッファーオバーフロー
Confluence is a 100% pure Java application with no native components. As such it is highly resistant to buffer overflow vulnerabilities — possible buffer overruns are limited to those that are bugs in the Java Runtime Environment itself.
SQL インジェクション
Confluence は Hibernate オブジェクト関係マッパーを介してデータベースと対話します。データベースクエリは、文字列連結ではなく、パラメーターを置換する標準の API を使用して生成されます。このため、Confluence は SQL インジェクション攻撃に強い耐性があります。
スクリプトインジェクション
Confluence は自己完結型の Java アプリケーションで、外部プロセスを起動しません。 このため、スクリプトインジェクション攻撃に対して強い耐性があります。
クロスサイトスクリプティング
ユーザー生成のコンテンツを Web 上に投稿できるコンテンツ管理システムとして、クロスサイトスクリプティング攻撃を防止するために、アプリケーション内で次の予防措置が取られてきました。
- Confluence の Wiki マークアップ言語では危険な HTML マークアップはサポートされていません。
- 未加工の HTML の挿入を許可するマクロは既定で無効化されています。
- ファイル添付としてアップロードされた HTMLは、ファイルのダウンロードが要求されると、インラインで表示されずに、コンテンツ タイプで提供されます。
- アプリケーションを HTML レベルでカスタマイズできるのは、システム管理者のみです。
クロスサイトスクリプティング脆弱性が Confluence Web アプリケーションで見つかった場合、可能な限り迅速にその脆弱性の修正に努めます。
Cross-Site request forgery
Confluence requires an XSRF token to be present for update requests, to prevent the user's browser from being tricked into unintentionally performing malicious action.
トランスポート層のセキュリティ
Confluence は SSL/TLS を直接的にサポートしていません。トランスポート層のセキュリティを心配している管理者は、Java Web アプリケーションサーバーのレベルで SSL/TLS を設定するか、HTTP プロキシを Confluence アプリケーションの前に配置してください。
For more information on configuring Confluence for SSL, see Running Confluence Over SSL or HTTPS.
セッション管理
Confluence はセッション管理をデプロイされた Java アプリケーションサーバーに代行させます。Confluence に同梱されている Tomcat アプリケーションサーバーに対して実行可能なセッションハイジャック攻撃は確認されていません。他のアプリケーションサーバーに Confluence をデプロイしている場合、セッションハイジャックに対して脆弱性がないことを確認する必要があります。
プラグインのセキュリティ
Administrators install third party apps (also known as plugins) at their own risk. Apps run in the same virtual machine as the Confluence server, and have access to the Java runtime environment, and the Confluence server API.
管理者は、インストールするアプリの提供元と、アプリが信頼できるかどうかについて常に把握しておく必要があります。
管理者信頼モデル
Confluence is written under the assumption that anyone given System Administrator privileges is trusted. System administrators are able, either directly or by installing apps, to perform any operation that the Confluence application is capable of.
あらゆるアプリと同様、root/管理者ユーザーとして Confluence を実行しないでください。権限が必要なネットワーク ポートを Confluence でリッスンしたい場合、権限を追加して Confluence を実行するのではなく、ポート フォワーディングかプロキシを設定してください。特に用心深い管理者は、chroot
ジェイル内で Confluence を実行することを検討してみてください。
スタックトレース
問題のデバッグに役立つよう、Confluence はエラーが発生すると Web インターフェイスを介してスタック トレースを提供します。これらのスタックトレースには、Confluence がエラー発生時に実行していた内容に関する情報と、ご使用のデプロイメントサーバーに関する一部の情報が含まれます。
これには、オペレーティングシステム、バージョン、Java のバージョンなどの情報が含まれます。適切なネットワークセキュリティでは、これは危険と見なされるのに十分な情報ではありません。現在のユーザーのユーザー名を含めることができます。
スレッドダンプには、デフォルトでユーザー名と URL が含まれます。この追加の診断情報を含めない場合は、スレッド診断を無効にすることができます。
Finding and reporting a security vulnerability
アトラシアンでは、セキュリティ脆弱性を報告する方法について詳細を「セキュリティ問題を報告する方法」に記載しています。
Confluence セキュリティ勧告の公開
アトラシアンでは、セキュリティ勧告のリリース方法について詳細を「セキュリティ勧告公開ポリシー」に記載しています。
セキュリティレベル
アトラシアンでは、セキュリティ問題のランク付け方法について詳細を「セキュリティ問題の重大度」に記載しています。
セキュリティバグ修正ポリシー
Our approach to releasing bigfixes for security issues is detailed in our Security Bugfix Policy.
公開済みのセキュリティ勧告
現在、Atlassian Server 製品と Data Center 製品に関するすべてのセキュリティ勧告は、atlassian.com/trust/security/advisories でのみ公開されています。
- Questions for Confluence のセキュリティ勧告 2022-07-20
- 複数の製品向けのセキュリティ アドバイザリ - レンダリングされない Unicode の双方向オーバーライド文字 - CVE-2021-42574 - 2021-11-01
- 複数の製品のセキュリティ勧告 - リモート コード実行に関する Hazelcast の脆弱性 - CVE-2016-10750
- Confluence セキュリティ勧告 - 2022-06-02
- Confluence セキュリティ勧告 - 2021-08-25
- Confluence セキュリティ勧告 - 2019-12-18
- Confluence セキュリティ勧告 - 2019-08-28
- Confluence セキュリティ勧告 - 2019-04-17
- Confluence セキュリティ勧告 - 2019-03-20
- Confluence セキュリティ勧告 - 2017-04-19
- Confluence セキュリティ勧告 - 2016-09-21
- Confluence セキュリティ勧告 - 2015-01-21
- Confluence セキュリティ勧告 - 2014-05-21
- Confluence セキュリティ勧告 - 2014-02-26
- Confluence セキュリティ勧告 - 2013-08-05
- Confluence セキュリティ勧告 - 2012-09-11
- Confluence セキュリティ勧告 - 2012-09-04
- Confluence セキュリティ勧告 - 2012-05-17
- Confluence セキュリティ勧告 - 2011-05-31
- Confluence セキュリティ勧告 - 2011-03-24
- Confluence セキュリティ勧告 - 2011-01-18
- Confluence セキュリティ勧告 - 2010-11-15
- Confluence セキュリティ勧告 - 2010-10-12
- Confluence セキュリティ勧告 - 2010-09-21
- Confluence セキュリティ勧告 - 2010-08-17
- Confluence セキュリティ勧告 - 2010-07-06
- Confluence セキュリティ勧告 - 2010-06-02
- Confluence セキュリティ勧告 - 2010-05-04
- Confluence セキュリティ勧告 - 2009-12-08
- Confluence セキュリティ勧告 - 2009-10-06
- Confluence セキュリティ勧告 - 2009-08-20
- Confluence セキュリティ勧告 - 2009-06-16
- Confluence セキュリティ勧告 - 2009-06-01
- Confluence セキュリティ勧告 - 2009-04-15
- Confluence セキュリティ勧告 - 2009-02-18
- Confluence セキュリティ勧告 - 2009-01-07
- Confluence セキュリティ勧告 - 2008-12-03
- Confluence セキュリティ勧告 - 2008-10-14
- Confluence セキュリティ勧告 - 2008-09-08
- Confluence セキュリティ勧告 - 2008-07-03
- Confluence セキュリティ勧告 - 2008-05-21
- Confluence セキュリティ勧告 - 2008-03-19
- Confluence セキュリティ勧告 - 2008-03-06
- Confluence セキュリティ勧告 - 2008-01-24
- Confluence セキュリティ勧告 - 2007-12-14
- Confluence セキュリティ勧告 - 2007-11-27
- Confluence セキュリティ勧告 - 2007-11-19
- Confluence セキュリティ勧告 - 2007-08-08
- Confluence セキュリティ勧告 - 2007-07-26
- Confluence セキュリティ勧告 - 2006-06-14
- Confluence セキュリティ勧告 - 2006-01-23
- Confluence セキュリティ勧告 - 2006-01-20
- Confluence セキュリティ勧告 - 2005-12-05
- Confluence セキュリティ勧告 - 2005-02-09
- Confluence コミュニティ セキュリティ勧告 2006-01-19