Confluence セキュリティ勧告 - 2010-08-17
このアドバイザリでは、Confluence 3.3.1 で特定して修正した Confluence 3.3 のセキュリティの脆弱性についてお知らせします。この脆弱性を解決するために、Confluence 3.3.1 にアップグレードすることをお勧めします。
In this advisory:
セキュアな管理者セッションの脆弱性
深刻度
アトラシアンは、この脆弱性を高度と判断しています。これは「セキュリティ問題の重大度レベル」に公開されている尺度に従って決定されます。スケールによって、脆弱性を重大、高度、中度、低度として評価できます。
Risk Assessment
迂回を可能にする Confluence 3.3 で導入されたセキュア管理者セッション機能の脆弱性を、特定して修正しました。
Vulnerability
攻撃者が管理者権限によってセッションにアクセスできる場合は、再認証なしですべての管理者機能にアクセスできます。
この脆弱性は Confluence 3.3 のみに存在します。
詳細については「CONF-20508」をご参照ください。
Risk Mitigation
これらの脆弱性を解決するために、Confluence インストールをアップグレードすることをお勧めします。以下の「修正」セクションをご参照ください。
あるいは、すぐにアップグレードする立場になく、必要だと判断した場合は、必要なアップグレードを適用するまで、Wiki へのパブリック アクセス (匿名アクセスやパブリック サインアップなど) を無効化できます。さらに厳格に制御するためには、信頼されたグループへのアクセスを制限できます。
修正
Confluence 3.3.1 fixes this issue. See the release notes. You can download Confluence 3.3.1 from the download centre.