Confluence セキュリティ勧告 - 2006-01-20

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Confluence で、攻撃者が悪意のある HTML コードを Confluence に注入できる欠陥が見つかりました。アトラシアンでは、Confluence のお客様全員が以下の修正をすぐに適用するか、Confluence 2.1.3 にアップグレードすることを強くお勧めします。

Vulnerability

攻撃者はユーザーのプロファイルのフルネームに HTML/JavaScript コードを入力することで、Confluence インスタンスのセキュリティ コンテキストでユーザーのブラウザーによって任意のスクリプト コードを実行できます。

This flaw affects all versions of Confluence between 1.4-DR releases and 2.1.2.

当初、この課題は Ricardo Sueiras によって報告されて、修正は Confluence コミュニティ セキュリティ アドバイザリ 2006-01-19 ページで Dan Hardiker によって迅速に文書化されました。この課題を指摘いただいたご両名に感謝いたします。

Jira の CONF-5233 に課題があります。

修正

この脆弱性は Confluence 2.1.3 以降で修正されています。2.1.3 への移行を希望しないお客様は、以下の手順を使用してこのバグを修正できます。

次の手順に従います。

  1. macros.vm を confluence/template/includes フォルダーにコピーする
  2. Confluence を再起動します。

: バージョン 1.4.4 を使用している場合は、代わりにこのファイルをダウンロードしてコピーしてください。名前を macros.vm に戻す必要があります。

上記のどのバージョンも使用していない場合は、$generalUtil.htmlEncode() でユーザーのフルネームを表示するために、ラップ コールを置き換える必要があります。または、メールをお送りください。ただし、使用しているバージョンに関係なく、最新の安定版ポイント リリースを使用することをお勧めします。

最終更新日 2016 年 11 月 4 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.