Confluence セキュリティ勧告 - 2009-06-01

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

In this advisory:

さまざまな Confluence アクションとマクロの XSS 脆弱性

重大度

Atlassian rates these vulnerabilities as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.

Risk Assessment

公共の環境における Confluence インスタンスに影響する可能性のあるセキュリティ上の数多くの欠陥を、特定して修正しました。これらは、さまざまな Confluence ページ/ブログの機能に影響を与える Cross-site Scripting (XSS) です。

  • ハッカーはこの欠陥を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報をハッカー自身の Web サーバーに送り返す可能性があります。
  • The hacker's text and script might be displayed to other people viewing the Confluence page. This is potentially damaging to your company's reputation.

You can read more about XSS attacks at cgisecurity, CERT and other places on the web.

Risk Mitigation

これらの脆弱性を解決するため、Confluence インストールをパッチまたはアップグレードすることをお勧めします。以下の「修正」セクションを参照してください。

あるいは、すぐにアップグレードする立場にないが必要だと判断した場合は、必要なパッチまたはアップグレードを適用するまでは、wiki へのパブリック アクセス (匿名アクセスパブリック サインアップなど) を無効にする必要があると判断できます。さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。

Vulnerability

ハッカーは独自の JavaScript をさまざまな Confluence URL に挿入できます。影響を受ける機能領域については、以下の表をご参照ください。ユーザーが Confluence で特定の機能 (リンクやボタンのクリックなど) を実行したときに、URL が呼び出されることがあります。URL は、ブラウザーのアドレス バーに入力するだけでも呼び出せます。このような URL に不正な JavaScript が挿入された場合は、ユーザーが URL を呼び出すと JavaScript が実行されます。

For more details please refer to the related JIRA issue, also shown in the table below.

影響を受ける Confluence 機能

影響する Confluence バージョン

可用性を修正

More Details

同時ページ編集メッセージ

すべてのバージョン (1.0 ~ 2.10.3 (これらを含む))

2.9.2 と 2.10.3

CONF-15883

ギャラリー マクロ (Confluence の高度なマクロ プラグイン)

すべてのバージョン (1.0 ~ 2.10.3 (これらを含む))

2.10.3

CONF-15376

ファイルの表示マクロ (Office コネクタ プラグイン)

2.10.0 〜 2.10.3(これらを含む)*

2.10.3

CONF-15402

インスタント メッセンジャー マクロ

すべてのバージョン (1.0 ~ 2.10.3 (これらを含む))

2.8.2、2.9.2、2.10.3

CONF-15397

投稿者マクロ

2.3 ~ 2.10.3(これらを含む)

2.9.2 と 2.10.3

CONF-15399

Jira 課題マクロ

すべてのバージョン (1.0 ~ 2.10.3 (これらを含む))

2.10.3

CONF-15754

*この脆弱性は、Office コネクタ プラグインがインストールされている以前の Confluence バージョンに存在する可能性があります。

修正

これらの問題は、ダウンロード センターからダウンロードできる Confluence 3.0 で修正されました (リリース ノート参照)。

Confluence 3.0 へのアップグレードを希望しない場合は、Jira サイトで提供されているパッチをダウンロードしてインストールできます。実行している Confluence のメジャー バージョンの最新リリースへアップグレードした後 (たとえば、Confluence 2.9 を実行している場合は、バージョン 2.9.2 にアップグレードする必要があります)、パッチを適用する必要があります。詳細については、上記の脆弱性の表に示されている特定の Jira 課題をご参照ください。

最終更新日 2013 年 9 月 13 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.