Confluence セキュリティ勧告 - 2010-11-15

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Confluence リモート API におけるセキュリティの脆弱性

深刻度

アトラシアンは、セキュリティの問題の重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを重大として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。

Risk Assessment

公開されているインスタンスを含む Confluence インスタンスに影響するリモート API の脆弱性を、特定して修正しました。リモート API によって、攻撃者がユーザー権限をエスカレートさせてシステム管理者権限のレベルを除外できます。

Vulnerability

以下の表は、RPC 脆弱性の影響を受ける Confluence のバージョンと特定の機能について説明しています。

Confluence Feature

影響する Confluence バージョン

修正対象バージョン

Issue Tracking

ユーザーアクセス

2.7 – 3.4

3.4.2

CONF-21162

Risk Mitigation

この脆弱性を解決するために、Confluence インストールをアップグレードすることをお勧めします。

Confluence インスタンスがパッチ適用またはアップグレードされるまでは、リモート API を無効にすることを強くお勧めします。リモート API が不可欠な場合は、[リモート API への匿名アクセス] を無効にすることをお勧めします。

We also recommend that you read our guidelines on best practices for configuring Confluence security.

修正

Confluence 3.4.2 ではこの問題が修正されています。このリリースの詳細な説明については、リリース ノートをご確認ください。Confluence 3.4.2 はダウンロード センターからダウンロードできます。

Confluence 3.4.2 にアップグレードできない場合は、下記のパッチを使用して、既存のインストールにパッチを適用できます。

利用可能なパッチ

何らかの理由で Confluence の最新バージョンにアップグレードできない場合は、次のパッチを適用して、このセキュリティ アドバイザリに記載されている脆弱性を修正できます。

Vulnerability

Patch

Confluence リモート API におけるセキュリティの脆弱性

confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip

パッチ手順: パッチをインストールする

Confluence 2.7 ~ 3.4.1 用のパッチが利用可能です。

The patch addresses the following issue:

  • Confluence RPC におけるセキュリティの脆弱性 (CONF-21162)。
Applying the patch

Confluence 2.7 ~ 3.4.1 ディストリビューションを使用している場合は、次の手順に従います。

  1. Confluence をシャットダウンします。
  2. Make a backup of the <confluence_install_dir>/confluence/ directory.
  3. confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip ファイルをダウンロードします。
  4. zip ファイルを <confluence_install_dir>/confluence/ に展開して、既存のファイルを上書きします。
  5. Confluence を再起動します。
  6. <Confluence base url>/admin/patch342applied.jsp にアクセスして「The Patch for Confluence 3.4.2 has been correctly applied. (Confluence 3.4.2 のパッチが正しく適用されました)」と報告されていることを確認します。

Confluence の WAR ディストリビューションを使用している場合は、次の手順に従います。

  1. Confluence をシャットダウンします。
  2. Make a backup of the <confluence_exploded_war>/confluence/ directory.
  3. confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip ファイルをダウンロードします。
  4. zip ファイルを <confluence_exploded_war>/confluence/ に展開して、既存のファイルを上書きします。
  5. UNIX では「build.sh clean」、Windows では「build.bat clean」を実行します。
  6. UNIX では build.sh、Windows では build.bat を実行します。
  7. Confluence Web アプリをアプリケーション サーバーに再デプロイします。
  8. Confluence を再起動します。
  9. <Confluence base url>/admin/patch342applied.jsp にアクセスして「The Patch for Confluence 3.4.2 has been correctly applied. (Confluence 3.4.2 のパッチが正しく適用されました)」と報告されていることを確認します。
最終更新日 2014 年 8 月 11 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.