Confluence セキュリティ勧告 - 2010-07-06

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

このアドバイザリでは、Confluence の以前のバージョンで発見されたセキュリティの脆弱性のうち、Confluence 3.3. で修正が行われた脆弱性を報告します。Confluence 3.3 のリリースに加えて、言及された脆弱性に対するパッチ (プラグインのアップグレードとして) も提供しています。これらのプラグインのアップグレードは、Confluence の旧バージョンにも適用されます。ただし、Confluence 3.3 では複数のセキュリティ改善が行われるため、パッチは適用またはバックポートできません。プラグインのアップグレードを適用するよりも、Confluence 3.3 にアップグレードすることをお勧めします。

In this advisory:

XSS Vulnerabilities

重大度

Atlassian rates the severity level of these vulnerabilities as high, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.

Risk Assessment

公共の環境における Confluence インスタンスに影響する可能性のある Cross-site Scripting (XSS) の数多くの脆弱性を、特定して修正しました。これらの脆弱性は、以下の表で説明されている Confluence 機能で公開されています。

  • 攻撃者は、この脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
  • これらの XSS 脆弱性によって、攻撃者が独自の JavaScript を Confluence ページに埋め込めるようになる可能性があります。攻撃者のテキストとスクリプトが、このページを表示している他のユーザーに表示される可能性があります。これによって、貴社の評判が損なわれる可能性があります。

You can read more about XSS attacks at cgisecurity, CERT and other places on the web.

Vulnerability

We have identified and fixed vulnerabilities in the Confluence features described in the table below.

Confluence Feature

影響する Confluence バージョン

Issue Tracking

PDF エクスポート

3.1.0 ~ 3.2.1

CONF-20121

Clickr テーマ

2.7.0 ~ 3.2.1

CONF-20126

Tasklist macro

2.8.0 ~ 3.2.1

CONF-20119

Contributors plugin (Contributors macro and Contributors Summary macro)

3.0.0 ~ 3.2.1

CONF-20122
CONF-20125

Risk Mitigation

これらの脆弱性を解決するために、Confluence インストールをアップグレードすることをお勧めします。以下の「修正」セクションをご参照ください。

Alternatively, if you are not in a position to upgrade immediately and you judge it necessary, you can apply one or both of the following mitigations:

  • 以下に示すように、影響を受けるプラグインをすべて無効にします。プラグインは、Confluence 管理コンソールを介して無効にできます。「Universal Plugin Manager ドキュメント」をご参照ください。
  • Disable public access (such as anonymous access and public signup) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.

Confluence セキュリティを設定するためのベスト プラクティス」のガイドラインもご参照ください。特に「Confluence 管理インターフェイスへのアクセスを制限するための Apache の使用」のガイドラインは必ずご確認ください。

修正

ご利用の Confluence バージョンとすぐにアップグレードできる条件に最も適したオプションを、以下から選択してください。

オプション 1 (推奨): Confluence 3.3 にアップグレード

このアドバイザリで報告されたすべてのセキュリティ問題が修正されるため、Confluence 3.3 にアップグレードすることをお勧めします。「Confluence 3.3 リリース ノート」をご確認ください。Confluence 3.3 はダウンロード センターからダウンロードできます。

オプション 2: 影響を受けるプラグインをアップグレードまたは無効にする

Confluence インストールをアップグレードできない場合は、影響を受けるプラグインをアップグレードまたは無効にして、このセキュリティ アドバイザリで説明されている脆弱性を修正できます。

  • Confluence プラグイン リポジトリを介して、または JAR を手動でアップロードすることで、プラグインは通常の方法でアップグレードできます。プラグインのインストールに関する詳細については、ドキュメントをご参照ください。
  • You can disable plugins via the Confluence Administration Console. See Universal Plugin Manager documentation.

影響を受ける機能

プラグインをアップデートできる Confluence バージョン

プラグインのアップグレードまたは無効化

PDF エクスポート プラグイン

3.1 – 3.3

Confluence 3.3 にアップグレードできない場合は、次の手順に従います。

  • Confluence 3.1.x または 3.2.x を実行している場合は、PDF エクスポート プラグインのバージョン 1.9 をインストールする必要があります。
  • If you are running Confluence 3.0.2 or earlier, you do not need to take any action as these versions are not affected by the security flaw.

Clickr テーマ

3.2 – 3.3

Confluence 3.3 にアップグレードできない場合は、次の手順に従います。

  • Confluence 3.2.x を実行している場合は、Clickr Theme プラグインのバージョン 2.10 をインストールする必要があります。
  • Confluence 3.1.2 以前のバージョンを実行している場合は、"Clickr Theme" プラグインを無効にする必要があります。

Tasklist macro

3.1 – 3.3

Confluence 3.3 にアップグレードできない場合は、次の手順に従います。

  • Confluence 3.1.x または 3.2.x を実行している場合は、動的タスク リスト 2 プラグインのバージョン 3.2.5.2 をインストールする必要があります。
  • Confluence 2.8.x ~ 3.0.x を実行している場合は、「動的タスク リスト 2」プラグインを無効にする必要があります。
  • If you are running Confluence 2.7.x or earlier, you do not need to take any action as these versions are not affected by the security flaw.

コントリビューター プラグイン

3.0 – 3.3

Confluence 3.3 にアップグレードできない場合は、次の手順に従います。

  • If you are running Confluence 3.0.x to 3.2.x, you should install version 1.2.6 of the Contributors plugin.
  • If you are running Confluence 2.10.4 or earlier, you do not need to take any action as these versions are not affected by the security flaw.
最終更新日 2014 年 8 月 11 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.