Confluence セキュリティ勧告 - 2009-06-16

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

In this advisory:

ページ コンテンツの脆弱性

Confluence 3.0 にすでにアップグレードしている場合は、このページで説明されている脆弱性の影響を受けないため、それ以上のアクションは実行不要です。

深刻度

Atlassian rates these vulnerabilities as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.

Risk Assessment

公共の環境内の Confluence インスタンスに影響する可能性がある 2 つのセキュリティの脆弱性を特定し、修正しました。これらの修正はどちらも、特定のページ コンテンツを表示する場合、または新しいページ コンテンツを追加する場合の、ユーザー アクセス制限の強化に関連しています。

これらのうち最初の脆弱性により、権限のないユーザーが特定のページを表示してファイル表示マクロを使用し、そのページに添付されたファイルのコンテンツを表示できるようになります。これは、ユーザーが Confluence サイト内で別のページを編集または作成する権限を持ち、表示できないページに添付されたファイルの名前を知っていることを前提としています。詳細については、Jira 課題「CONF-15809」をご参照ください。

これらの脆弱性の 2 つ目によって、スペース管理者権限を持つユーザーが Confluence スペースにページをインポートできるようになります。この機能のセキュリティ レベルは、システム管理権限を持つユーザーのみがこのスペースにアクセスできるように強化されています。詳細については「CONF-15267」をご参照ください。

Risk Mitigation

Confluence 3.0 にまだアップグレードしていない場合は、Confluence インストールをパッチ適用するかアップグレードして、これらの脆弱性を修正することをお勧めします。以下の「修正」セクションをご参照ください。

あるいは、すぐにアップグレードする立場にないが必要だと判断した場合は、必要なパッチまたはアップグレードを適用するまでは、wiki へのパブリック アクセス (匿名アクセスパブリック サインアップなど) を無効にする必要があると判断できます。さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。

Vulnerability

Office Connector プラグインがインストールされたバージョン 2.10.3 以前の Confluence のすべてのバージョンが、最初のファイル表示マクロの脆弱性の影響を受けます。

Confluence 2.10.x すべてのバージョンが、2 番目のページのインポートの脆弱性の影響を受けます。

修正

これらの問題は、ダウンロード センターからダウンロードできる Confluence 3.0 で修正されました (リリース ノート参照)。

Confluence 3.0 へのアップグレードを希望しない場合は、Jira サイトで提供されているパッチをダウンロードしてインストールできます。実行している Confluence のメジャー バージョンの最新リリースへアップグレードした後 (たとえば、Confluence 2.10.0 を実行している場合は、バージョン 2.10.3 にアップグレードする必要があります)、パッチを適用する必要があります。詳細については、以下に示す特定の Jira 課題をご参照ください。

最初のファイル表示マクロの脆弱性を修正するパッチをダウンロードするには、「CONF-15809」をご参照ください。

2 つ目のページのインポートの脆弱性を修正するパッチをダウンロードするには、「CONF-15267」をご参照ください。

最終更新日 2013 年 9 月 13 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.