Confluence セキュリティ勧告 - 2009-10-06
In this advisory:
セッション固定の脆弱性
深刻度
Atlassian rates these vulnerabilities as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.
Risk Assessment
公共の環境における Confluence インスタンスに影響する可能性があるセキュリティの脆弱性を、特定して修正しました。この脆弱性は、セッション固定攻撃につながる可能性があります。この攻撃では、被害者が自分の Confluence ユーザー アカウントにログインしている間に、悪意のあるユーザー (攻撃者) が被害者の Confluence リソースにアクセスできます。
攻撃者は、自分のセッション ID を被害者のコンピューターに固定 (または設定) することで、これを行います。被害者がログインしている間は被害者のすべての特権が攻撃者のセッション ID に関連付けられて、被害者がアクセス可能なすべての Confluence データとリソースに対する攻撃者のアクセスが実質的に許可されます。
セッション固定攻撃の詳細については、次の資料をご参照ください。
- Chris Shiflett のセキュリティの脆弱性に関する記事
- Web Application Security Consortium の概要
Risk Mitigation
これらの脆弱性を解決するため、Confluence インストールをパッチ適用またはアップグレードすることをお勧めします。以下の「修正」セクションをご参照ください。
あるいは、すぐにアップグレードする立場にないが必要だと判断した場合は、必要なパッチまたはアップグレードを適用するまでは、wiki へのパブリック アクセス (匿名アクセスやパブリック サインアップなど) を無効にする必要があると判断できます。さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。
Vulnerability
Confluence 3.0.2 より前のすべてのバージョンは、このセキュリティ上の問題に対して脆弱性を持っています。
修正
これらの問題は Confluence 3.0.2 で修正されています。ダウンロード センターからダウンロードできる「リリース ノート」をご参照ください。
Confluence 3.0.2 へのアップグレードを希望しない、ならびに現在 Confluence バージョン 2.10.x または 3.0.x を実行している場合は、既存のインストールにパッチを適用できます。Jira 課題 CONF-15108 に添付された適切なパッチ ファイルをダウンロードして、この Jira 課題に記載されている手順に従ってパッチ ファイルをインストールしてください。
この脆弱性を報告してくれた Ben L Broussard に感謝いたします。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。
さまざまな Confluence マクロの XSS 脆弱性
深刻度
Atlassian rates these vulnerabilities as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.
Risk Assessment
公共の環境内の Confluence インスタンスに影響する可能性のあるセキュリティ上の数多くの脆弱性を、特定して修正しました。これらの欠陥は、Confluence の pagetree、userlister、ラベル別コンテンツの各マクロにおける Cross-site Scripting (XSS) の脆弱性です。これらの XSS 脆弱性によって、攻撃者が独自の JavaScript を Confluence ページに埋め込めるようになる可能性があります。
- 攻撃者は、この脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
- 攻撃者のテキストとスクリプトが、Confluence ページを表示している他のユーザーに表示される可能性があります。これにより、貴社の評判が損なわれる可能性があります。
You can read more about XSS attacks at cgisecurity, CERT and other places on the web.
Risk Mitigation
これらの脆弱性を解決するため、Confluence インストールをパッチ適用またはアップグレードすることをお勧めします。以下の「修正」セクションをご参照ください。
あるいは、すぐにアップグレードする立場にないが必要だと判断した場合は、必要なパッチまたはアップグレードを適用するまでは、wiki へのパブリック アクセス (匿名アクセスやパブリック サインアップなど) を無効にする必要があると判断できます。さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。
Vulnerability
攻撃者は、以下の表に示す Confluence アクションに独自の JavaScript を注入できます。各アクションは、ユーザーが Confluence で特定の機能 (リンクやボタンのクリックなど) を実行したときに呼び出されます。アクションは、ブラウザーのアドレス バーに URL を入力するだけでも呼び出せます。不正な JavaScript は、ユーザーが URL を呼び出すときに実行されます。
For more details please refer to the related JIRA issue, also shown in the table below.
Confluence アクション | 影響する Confluence バージョン | 可用性を修正 | 詳細情報 |
---|---|---|---|
Pagetree Macro | 2.8.0 ~ 3.0.1 | 2.10.0~ 3.0.2(これらを含む) | |
Userlister マクロ | 2.6.0 ~ 3.0.1 | 2.10.0~ 3.0.2(これらを含む) | |
ラベル別コンテンツ マクロ | 2.10.0 ~ 3.0.1 | 2.10.0~ 3.0.2(これらを含む) |
修正
これらの問題は Confluence 3.0.2 で修正されています。ダウンロード センターからダウンロードできる「リリース ノート」をご参照ください。
Confluence 3.0.2 にアップグレードしない場合は、Confluence プラグイン リポジトリを介してこれらのマクロのプラグインを、脆弱性セクション (上記) に記載されている Jira 課題に示されているバージョンにアップグレードすることで、既存のインストールにパッチを適用できます。