Confluence セキュリティ勧告 - 2010-06-02
このセキュリティ アドバイザリでは、Confluence メール ページ プラグインの脆弱性についてお知らせします。Confluence メール ページ プラグインが有効になっている場合は (注: このプラグインは既定で無効になっています)、この脆弱性によって Confluence サイトが XSS (Cross-site Scripting) 攻撃にさらされる可能性があります。このプラグインを有効にしていない場合、サイトは影響を受けません。ただし、以下のアドバイザリを引き続き読むことをお勧めします。
In this advisory:
Confluence メール ページ プラグインの XSS 脆弱性
深刻度
アトラシアンは、この脆弱性を高度と判断しています。これは「セキュリティ問題の重大度レベル」に公開されている尺度に従って決定されます。スケールによって、脆弱性を重大、高度、中度、低度として評価できます。
Risk Assessment
公共の環境内の Confluence インスタンスに影響する可能性があるセキュリティの脆弱性を特定し、修正しました。この欠陥は、Confluence メール ページ プラグインを有効にしている場合に発生する可能性がある Cross-site Scripting (XSS) の脆弱性です。Confluence メール ページ プラグインは Confluence にバンドルされていますが、既定では無効になっています。
- 攻撃者は、この脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
- 攻撃者のテキストとスクリプトが、Confluence ページを表示している他のユーザーに表示される可能性があります。これにより、貴社の評判が損なわれる可能性があります。
You can read more about XSS attacks at cgisecurity, CERT and other places on the web.
Vulnerability
攻撃者は、ユーザーがブラウザーのアドレス バーにカスタム URL を入力するときに、独自の JavaScript を実行する可能性があります (たとえば、ユーザーがメールで作成されたリンクをクリックする場合など)。不正な JavaScript は、ユーザーが URL を呼び出すときに実行されます。詳細については「CONF-19802」をご参照ください。
Risk Mitigation
この脆弱性を修正するために、更新された Confluence メール ページ プラグインを Confluence インストールにインストールすることをお勧めします。以下の「修正」セクションをご参照ください。
または、すぐにこれを引き受ける立場になく、必要だと判断した場合は、Confluence メール ページ プラグインを無効にすることができます (注: このプラグインは既定で無効になっています)。また、必要なパッチまたはアップグレードを適用するまで、Wiki へのパブリック アクセス (たとえば、匿名アクセスやパブリック サインアップなど) を無効にすることもできます。さらに厳格に制御するためには、信頼されたグループへのアクセスを制限できます。
修正
これらの課題は、Confluence メール ページ プラグインの最新バージョン (v1.10) で修正されています。このプラグインは、Atlassian Plugin Exchange からダウンロードできます。インストール手順については、プラグインのドキュメント ページをご参照ください。
Confluence メール ページ プラグインのバージョン 1.10 は、Confluence 3.2 でのみ動作することにご注意ください。更新されたプラグインをインストールする前に Confluence 3.2 にアップグレードする必要があります。