Confluence セキュリティ勧告 - 2009-04-15
In this advisory:
さまざまな Confluence マクロの XSS 脆弱性
深刻度
Atlassian rates this vulnerability as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.
Risk Assessment
公共の環境における Confluence インスタンスに影響する可能性のあるセキュリティ上の 2 つの欠陥を、特定して修正しました。これらの欠陥はすべて、Confluence のインデックス マクロとウィジェット マクロにおける Cross-site Scripting (XSS) の脆弱性です。各脆弱性によって、悪意のあるユーザー (攻撃者) が独自の JavaScript を Confluence ページに埋め込めるようになり、この JavaScript がページのレンダリング時に実行されます。
- ハッカーはこの欠陥を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報をハッカー自身の Web サーバーに送り返す可能性があります。
- The hacker's text and script might be displayed to other people viewing the Confluence page. This is potentially damaging to your company's reputation.
You can read more about XSS attacks at cgisecurity, CERT and other places on the web.
Risk Mitigation
この脆弱性を解決するには、Confluence インストールをパッチ適用またはアップグレードすることをお勧めします。以下の「修正」セクションをご参照ください。
あるいは、すぐにアップグレードする立場にないが必要だと判断した場合は、必要なパッチまたはアップグレードを適用するまでは、wiki へのパブリック アクセス (匿名アクセスやパブリック サインアップなど) を無効にする必要があると判断できます。さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。
また、必要なパッチまたはアップグレードを適用するまで、ウィジェット コネクタ プラグインと Confluence Advanced Macros プラグインのインデックス マクロ モジュールを一時的に無効にできます。ただし、これによって、Confluence サイトの既存のページまたはブログでこれらのマクロが発生すると、「不明なマクロ」表示でレンダリングされることにご注意ください。
Vulnerability
Confluence 2.10.3 より前のすべてのバージョンは、このセキュリティ上の問題に対して脆弱性を持っています。
修正
この修正には、ページ上のコンテンツを正しくレンダリングするためのインデックス マクロの更新と、渡されたすべてのパラメーターを正しくエンコードするためのウィジェット マクロの更新が含まれます。
Confluence の既存のインストールにパッチを適用するには、インデックス マクロについては「CONF-14753 」、ウィジェット マクロについては「CONF-14337」をご参照ください。この Jira 課題には、ダウンロード可能なパッチ ファイルと、既存の Confluence インストールにパッチを適用する方法の手順が含まれています。
または、Confluence バージョン 2.10.3 をインストールまたはアップグレードしてください (リリース ノートをご参照ください)。Confluence 2.10.3 インストール ファイルは、ダウンロード センターからダウンロードできます。
詳細については「CONF-14753」と「CONF-14337」をご参照ください。
上記の XSS 脆弱性の 1 つを報告してくださった Igor Minar 様に感謝いたします。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。
添付ファイル名による HTTP ヘッダー インジェクションの欠陥
深刻度
Atlassian rates this vulnerability as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.
Risk Assessment
添付ファイル名に関するセキュリティ上の欠陥を、特定して修正しました。この脆弱性によって、この欠陥を悪用するように設計された、ファイル名が変更された添付ファイルのアップロードによる HTTP ヘッダー インジェクション攻撃につながる可能性があります。攻撃者が悪意のあるコードを HTTP レスポンスに挿入して、このコードがユーザーのセッションで実行されます。
- 攻撃者は、この欠陥を利用して他のユーザーのセッション クッキーやその他の資格情報を盗んで、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
- また、攻撃者はセッション Cookie が盗まれたユーザーの権限に基づいて、基盤となるシステムを制御できます。
- 攻撃者は、ユーザーを望ましくない Web サイトにリダイレクトする可能性があります。これによって、貴社の評判が損なわれる可能性があります。
Risk Mitigation
これらの脆弱性を解決するには、Confluence インストールをパッチ適用またはアップグレードすることを強くお勧めします。以下の「修正」セクションをご参照ください。
必要に応じて、パブリック アクセスを無効にできます (例: 必要なパッチまたはアップグレードを適用するまでの、wiki への匿名アクセスとパブリック サインアップ)。さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。
あるいは、次のステップを実行することを検討できます。ただし、この脆弱性を修正するために必要な時間とその有効性の程度は、Confluence を実行しているアプリケーション サーバーとその設定によって異なります。
- アプリケーション サーバーのベンダーに問い合わせて、アプリケーション サーバーがヘッダー インジェクションの脆弱性に影響されないか、またはそのような攻撃を防ぐための構成オプションがあるかどうかをご確認ください。たとえば、Tomcat バージョン 5.5 以降の Coyote (HTTP) コネクタは、この参照資料で認知されているように、ヘッダー インジェクション攻撃の影響を受けません。
テクニカル ノート: アプリケーション サーバーでは、HttpServletResponse クラスの setHeader()、addHeader()、sendRedirect() メソッドのパラメーターでヘッダー終了文字が適切にチェックされていると、ヘッダー インジェクションの脆弱性が軽減されます。
このテクニカル ノートをアプリケーション サーバーのベンダーに転送すると、ヘッダー インジェクション攻撃に対するアプリケーション サーバーの脆弱性を評価するのに役立つためお勧めです。
Vulnerability
Confluence 2.10.3 より前のすべてのバージョンは、このセキュリティ上の問題に対して脆弱性を持っています。
修正
この修正には、Confluence の新しいヘッダー インジェクション防止フィルターが含まれています。これによって、HTTP ヘッダーに含まれる前に、添付ファイル名またはその他のユーザー提供データが正しくエンコードされます。
Confluence の既存のインストールにパッチを適用するには「CONF-14704」をご参照ください。この Jira 課題には、ダウンロード可能なパッチ ファイルと、既存の Confluence インストールにパッチを適用する方法の手順が含まれています。
または、Confluence バージョン 2.10.3 をインストールまたはアップグレードしてください (リリース ノートをご参照ください)。Confluence 2.10.3 インストール ファイルは、ダウンロード センターからダウンロードできます。
詳細については「CONF-14704」をご参照ください。