Confluence セキュリティ勧告 - 2009-01-07
In this advisory:
Office コネクタ プラグインのコンテンツ上書きの脆弱性
深刻度
Atlassian rates this vulnerability as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.
Risk Assessment
Confluence Wiki スペースへの読み取り専用アクセス権を持つユーザーが、Office コネクタ プラグインのドキュメント インポート機能を使用して、コンテンツを変更できるリスクを特定しました。ただし、この課題では、Confluence Wiki スペース上の制限されたコンテンツが権限のないユーザーに公開されることはありません。
Risk Mitigation
以下の「修正」セクションを参照してください。すぐに修正を適用できない場合は、次の手順の 1 つ以上を実行することを検討できます。
- 「アプリの無効化と有効化」の説明に従って、Office コネクタ プラグイン全体を無効にします。
- 必要に応じて、パブリック アクセスを無効にできます (例:必要なパッチまたはアップグレードを適用するまでの、Wiki への匿名アクセスとパブリック サインアップ)。
- さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。
Vulnerability
Office コネクタ プラグインは、Confluence バージョン 2.10.0 で最初にバンドルされました。したがって、この脆弱性は Office コネクタ プラグインが有効になっている Confluence 2.10.0 に影響します。さらに、このプラグインは、Confluence 2.3.0 以降のすべてのバージョンと互換性があります。したがって、プラグインをインストールした場合、この脆弱性は Confluence インスタンスに影響します。
修正
Universal Plugin Manager を使用して、Office コネクタ プラグインの最新バージョンをダウンロードしてインストールしてください (手順はこちら)。このプラグインを手動でインストールする場合は、こちらからダウンロードできます。
または、Confluence バージョン 2.10.1 をインストールまたはアップグレードしてください (リリース ノートをご参照ください)。Confluence 2.10.1 インストール ファイルは、ダウンロード センターからダウンロードできます。
詳細については「CONF-14014」をご参照ください。
上記の脆弱性を報告してくださった Justin Wong 様に感謝いたします。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。