Confluence セキュリティ勧告 - 2010-10-12

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

このアドバイザリでは、Confluence の以前のバージョンで発見されたセキュリティの脆弱性のうち、Confluence 3.4 で修正が行われた脆弱性を報告します。Confluence 3.4 のリリースに加えて、下記の脆弱性に対するパッチも提供しています。これらのパッチは、Confluence 3.3.3 の既存のインストールに適用できるようになります。ただし、Confluence 3.4 にアップグレードしてこれらの脆弱性を修正することをお勧めします。

In this advisory:

XSS Vulnerabilities

重大度

Atlassian rates the severity level of these vulnerabilities as high, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.

Risk Assessment

公開されているインスタンスを含む、Confluence インスタンスに影響する可能性がある Cross-site Scripting (XSS) の数多くの脆弱性を、特定して修正しました。

  • 攻撃者は、XSS 脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
  • これらの XSS 脆弱性によって、攻撃者が独自の JavaScript を Confluence ページに埋め込めるようになる可能性があります。攻撃者のテキストとスクリプトが、このページを表示している他のユーザーに表示される可能性があります。これによって、貴社の評判が損なわれる可能性があります。

You can read more about XSS attacks at cgisecurity, CERT and other places on the web.

Vulnerability

The table below describes the parts of Confluence affected by the XSS vulnerabilities.

Confluence Feature

影響する Confluence バージョン

Issue Tracking

スペース名

2.9 – 3.3.3

CONF-20740

Officeコネクタ

3.0 – 3.3.3

CONF-20963

Tasklist macro

1.3 – 3.3.3

CONF-20964

Risk Mitigation

We recommend that you upgrade your Confluence installation to fix these vulnerabilities.

Alternatively, if you are not in a position to upgrade immediately and you judge it necessary, you can disable public access (such as anonymous access and public signup) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.

Confluence のセキュリティ設定に関するベスト プラクティスApache を使用して Confluence 管理インターフェイスへのアクセスを制限する方法に関するガイドラインを読むこともお勧めします。

修正

Confluence 3.4 では、これらの問題が修正されています。このリリースの詳細な説明については、リリース ノートをご確認ください。Confluence 3.4 はダウンロード センターからダウンロードできます。

Confluence 3.4 にアップグレードできない場合は、以下に示すパッチを使用して既存のインストールにパッチを適用できます。

利用可能なパッチとプラグインのアップグレード

何らかの理由で Confluence 3.4 にアップグレードできない場合は、次のパッチとプラグインのアップグレードを適用して、このセキュリティ アドバイザリで説明されている脆弱性を修正できます。

パッチの手順のステップ 1: パッチをインストールする

Confluence 3.3.3 のパッチが利用できます。

このパッチは、次の問題に対処します。

  • スペース名の XSS 脆弱性 (CONF-20740)。
  • Office コネクタの XSS 脆弱性 (CONF-20963)。

Confluence ディストリビューションを使用している場合は、次の手順に従います。

  1. Confluence をシャットダウンします。
  2. Make a backup of the <confluence_install_dir>/confluence/ directory.
  3. Download the confluence-3.3.3-to-3.4-security-patch.zip file.
  4. zip ファイルを <confluence_install_dir>/confluence/ に展開して、既存のファイルを上書きします。
  5. Confluence を再起動します。

Confluence の WAR ディストリビューションを使用している場合は、次の手順に従います。

  1. Confluence をシャットダウンします。
  2. Make a backup of the <confluence_exploded_war>/confluence/ directory.
  3. Download the confluence-3.3.3-to-3.4-security-patch.zip file.
  4. zip ファイルを <confluence_exploded_war>/confluence/ に展開して、既存のファイルを上書きします。
  5. UNIX では「build.sh clean」、Windows では「build.bat clean」を実行します。
  6. UNIX では build.sh、Windows では build.bat を実行します。
  7. Confluence Web アプリをアプリケーション サーバーに再デプロイします。
  8. Confluence を再起動します。

Step 2 of the Patch Procedure: Upgrade the Affected Plugins

Some of the above vulnerabilities exist in plugins and are therefore not included in the patch. To fix these vulnerabilities, you will need to upgrade the affected plugins. You can upgrade the plugins in the normal manner, via the Confluence Plugin Repository. Please refer to the documentation for more details on installing plugins.

最終更新日 2014 年 8 月 11 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.