Confluence セキュリティ勧告 - 2009-02-18

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

In this advisory:

HTTP ヘッダー インジェクションの欠陥

重大度

アトラシアンは、この脆弱性を高度と評価しています。これは Confluence セキュリティで公開されている尺度に従って決定されます。脆弱性は尺度に従い、重大、高度、中度、低度として評価されます。
(info)先週公開されたこのセキュリティ アドバイザリの高度な警告では、この脆弱性の重大度が「重大」と記載されていました。しかし、攻撃の可能性をさらに評価した結果、これを「高度」に修正しました。

Risk Assessment

公共の環境内の Confluence インスタンスに影響する可能性のあるセキュリティ上の欠陥を、特定して修正しました。この欠陥は、Confluence によって使用される Seraph Web フレームワーク内の HTTP ヘッダー インジェクションの脆弱性です。これによって、悪意のあるユーザー (攻撃者) が HTTP レスポンスを変更して悪意のあるコードを挿入できるようになります。攻撃者は、変更された URL (例: メール メッセージに偽装した URL) をユーザーに提示できます。ユーザーがその URL をクリックすると、そのユーザーのセッションで悪意のあるコードが実行されます。

  • 攻撃者は、この欠陥を利用して他のユーザーのセッション クッキーやその他の資格情報を盗んで、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
  • また、攻撃者はセッション Cookie が盗まれたユーザーの権限に基づいて、基盤となるシステムを制御できます。
  • 攻撃者は、ユーザーを望ましくない Web サイトにリダイレクトする可能性があります。これによって、貴社の評判が損なわれる可能性があります。

Atlassian recommends that you upgrade to Confluence 2.10.2 to fix the vulnerabilities described below.

Risk Mitigation

これらの脆弱性を解決するには、Confluence インストールをパッチ適用またはアップグレードすることを強くお勧めします。以下の「修正」セクションをご参照ください。

あるいは、次のステップを実行することを検討できます。ただし、この脆弱性を修正するために必要な時間とその有効性の程度は、Confluence を実行しているアプリケーション サーバーとその設定によって異なります。

  • アプリケーション サーバーのベンダーに問い合わせて、アプリケーション サーバーがヘッダー インジェクションの脆弱性に影響されないか、またはそのような攻撃を防ぐための構成オプションがあるかどうかをご確認ください。たとえば、Tomcat バージョン 5.5 以降の Coyote (HTTP) コネクタは、この参考資料で認められているように、ヘッダー インジェクション攻撃の影響を受けません。
    テクニカル ノート: アプリケーション サーバーでは、HttpServletResponse クラスの setHeader()、addHeader()、sendRedirect() メソッドのパラメーターでヘッダー終了文字が適切にチェックされていると、ヘッダー インジェクションの脆弱性が軽減されます。
    (info)このテクニカル ノートをアプリケーション サーバーのベンダーに転送すると、ヘッダー インジェクション攻撃に対するアプリケーション サーバーの脆弱性を評価するのに役立つためお勧めです。

Vulnerability

Confluence 2.10.2 より前のすべてのバージョンは、このセキュリティ上の問題に対して脆弱性を持っています。

修正

この修正により、Seraph フレームワークは、ユーザーに送信する前にリダイレクト URL を正しくエンコードおよび検証するバージョンにアップデートされます。

Confluence の既存のインストールにパッチを適用するには「CONF-14275」をご参照ください。この Jira 課題には、ダウンロード可能なパッチ ファイルと、既存の Confluence インストールにパッチを適用する方法の手順が含まれています。

または、Confluence バージョン 2.10.2 をインストールまたはアップグレードしてください (リリース ノートをご参照ください)。Confluence 2.10.2 インストール ファイルは、ダウンロード センターからダウンロードできます。

詳細については「CONF-14275」をご参照ください。

最終更新日 2011 年 6 月 6 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.