Confluence コミュニティ セキュリティ勧告 2006-01-19

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

このセキュリティ アドバイザリーはアトラシアンによって承認されていません。これは、Confluence コミュニティのメンバーによる公共サービス アドバイザリーです。変更されたファイルは必ずバックアップして、これらの手順は自己責任で行ってください。この情報は Confluence v2.1.2 に基づいているため、影響を受ける古いバージョンの Confluence で使用されている可能性があります。

公式のセキュリティ勧告はConfluence セキュリティ勧告 2006-01-20」にあります。

 

問題

氏名のユーザー プロファイル フィールドを表示すると、XSS の悪用が発生する可能性があります。

ソリューション

問題は氏名の出力がエスケープされないことでした。出力を $generalUtil.htmlEncode() にラッピングすることによって解決します。問題の大部分は、ディストリビューションの /confluence/template/includes/macros.vm で次の行を変更することによって解決します。

  • 180
  • 186
  • 200
  • 340
  • 893

ここに修正済みの macros.vm ファイルが添付されていますので、このファイルを各自のディストリビューションにコピーできます。

範囲

影響を受けることをアトラシアンが認識している場所は他にもありますが、独自の公式アドバイザリーでアトラシアンによって完全な解決策が提供される必要があります。

お役立ていただければ幸いです。

最終更新日 2006 年 1 月 20 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.