Confluence セキュリティ勧告 - 2010-07-06
このアドバイザリでは、Confluence の以前のバージョンで発見されたセキュリティの脆弱性のうち、Confluence 3.3. で修正が行われた脆弱性を報告します。Confluence 3.3 のリリースに加えて、言及された脆弱性に対するパッチ (プラグインのアップグレードとして) も提供しています。これらのプラグインのアップグレードは、Confluence の旧バージョンにも適用されます。ただし、Confluence 3.3 では複数のセキュリティ改善が行われるため、パッチは適用またはバックポートできません。プラグインのアップグレードを適用するよりも、Confluence 3.3 にアップグレードすることをお勧めします。
In this advisory:
XSS Vulnerabilities
深刻度
Atlassian rates the severity level of these vulnerabilities as high, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.
Risk Assessment
公共の環境における Confluence インスタンスに影響する可能性のある Cross-site Scripting (XSS) の数多くの脆弱性を、特定して修正しました。これらの脆弱性は、以下の表で説明されている Confluence 機能で公開されています。
- 攻撃者は、この脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
- これらの XSS 脆弱性によって、攻撃者が独自の JavaScript を Confluence ページに埋め込めるようになる可能性があります。攻撃者のテキストとスクリプトが、このページを表示している他のユーザーに表示される可能性があります。これによって、貴社の評判が損なわれる可能性があります。
You can read more about XSS attacks at cgisecurity, CERT and other places on the web.
Vulnerability
We have identified and fixed vulnerabilities in the Confluence features described in the table below.
Confluence Feature | 影響する Confluence バージョン | Issue Tracking |
|---|---|---|
PDF エクスポート | 3.1.0 ~ 3.2.1 | |
Clickr テーマ | 2.7.0 ~ 3.2.1 | |
Tasklist macro | 2.8.0 ~ 3.2.1 | |
Contributors plugin (Contributors macro and Contributors Summary macro) | 3.0.0 ~ 3.2.1 |
Risk Mitigation
これらの脆弱性を解決するために、Confluence インストールをアップグレードすることをお勧めします。以下の「修正」セクションをご参照ください。
Alternatively, if you are not in a position to upgrade immediately and you judge it necessary, you can apply one or both of the following mitigations:
- 以下に示すように、影響を受けるプラグインをすべて無効にします。プラグインは、Confluence 管理コンソールを介して無効にできます。「Universal Plugin Manager ドキュメント」をご参照ください。
- Disable public access (such as anonymous access and public signup) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.
「Confluence セキュリティを設定するためのベスト プラクティス」のガイドラインもご参照ください。特に「Confluence 管理インターフェイスへのアクセスを制限するための Apache の使用」のガイドラインは必ずご確認ください。
修正
ご利用の Confluence バージョンとすぐにアップグレードできる条件に最も適したオプションを、以下から選択してください。
オプション 1 (推奨): Confluence 3.3 にアップグレード
このアドバイザリで報告されたすべてのセキュリティ問題が修正されるため、Confluence 3.3 にアップグレードすることをお勧めします。「Confluence 3.3 リリース ノート」をご確認ください。Confluence 3.3 はダウンロード センターからダウンロードできます。
オプション 2: 影響を受けるプラグインをアップグレードまたは無効にする
Confluence インストールをアップグレードできない場合は、影響を受けるプラグインをアップグレードまたは無効にして、このセキュリティ アドバイザリで説明されている脆弱性を修正できます。
- Confluence プラグイン リポジトリを介して、または JAR を手動でアップロードすることで、プラグインは通常の方法でアップグレードできます。プラグインのインストールに関する詳細については、ドキュメントをご参照ください。
- You can disable plugins via the Confluence Administration Console. See Universal Plugin Manager documentation.
影響を受ける機能 | プラグインをアップデートできる Confluence バージョン | プラグインのアップグレードまたは無効化 |
|---|---|---|
PDF エクスポート プラグイン | 3.1 – 3.3 | Confluence 3.3 にアップグレードできない場合は、次の手順に従います。
|
Clickr テーマ | 3.2 – 3.3 | Confluence 3.3 にアップグレードできない場合は、次の手順に従います。
|
Tasklist macro | 3.1 – 3.3 | Confluence 3.3 にアップグレードできない場合は、次の手順に従います。
|
コントリビューター プラグイン | 3.0 – 3.3 | Confluence 3.3 にアップグレードできない場合は、次の手順に従います。
|