Confluence セキュリティ勧告 - 2011-03-24

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

この累積アドバイザリでは、Confluence で発見されて最新バージョンの Confluence で修正された複数のセキュリティの脆弱性について、詳しく説明します。また、Confluence の既存のインストールに適用してこれらの脆弱性を修正できる、アップグレードされたプラグインとパッチも提供しています。ただし、影響を受けるプラグインのみをアップグレードするのではなく、Confluence の完全なインストールをアップグレードすることをお勧めします。Enterprise ホスト型のお客様は、http://support.atlassian.com でサポート リクエストを送信して、アップグレードをリクエストする必要があります。Jira Studio は、このアドバイザリで説明されている問題に対する脆弱性はありません。

Atlassian is committed to improving product security. The vulnerabilities listed in this advisory have been discovered by Atlassian, unless noted otherwise. The reporter may also have requested that we do not credit them.

In this advisory:

XSS Vulnerabilities

重大度

Atlassian rates the severity level of these vulnerabilities as high, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.

これらの脆弱性は重要ではありません。これは独立した評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

Risk Assessment

公開されているインスタンス (インターネットに直接接続しているサーバー) を含む、Confluence インスタンスに影響を与える可能性がある Cross-site Scripting (XSS) の脆弱性を数多く特定し、修正しました。XSS の脆弱性により、攻撃者が独自の JavaScript を Confluence ページに埋め込むことが可能になります。XSS 攻撃の詳細については、cgisecurity.comWeb Application Security Consortium、およびその他の Web サイトを参照してください。

Vulnerability

以下の表は、各 XSS 脆弱性の影響を受ける Confluence のバージョンと特定の機能について説明しています。

Confluence Feature

影響する Confluence バージョン

Issue Tracking

インクルード ページ マクロ

2.7 – 3.4.6

CONF-21604

アクティビティ ストリームガジェット

3.1 – 3.4.6

CONF-21606

添付ファイル リストのアクション リンク

2.7 – 3.4.7

CONF-21766

コンテンツ テーブル マクロ

2.9 – 3.4.8

CONF-21819

添付ファイル リストのアクション リンクの脆弱性を報告してくださった Dave B 様に感謝いたします。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。

Risk Mitigation

We recommend that you upgrade your Confluence installation to fix these vulnerabilities.

Alternatively, if you are not in a position to upgrade immediately and you judge it necessary, you can disable public signup to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.

We also recommend that you read our guidelines on best practices for configuring Confluence security.

修正

Confluence 3.4.9 以降では、これらの課題がすべて修正されています。上記の表に記載されているように、いくつかの問題は以前のバージョンで修正されています。このリリースの詳細な説明については、リリース ノートをご覧ください。Confluence の最新バージョンは、ダウンロード センターからダウンロードできます。このアドバイザリの作成時点で、最新バージョンは Confluence 3.5 です。

Patches

何らかの理由で Confluence の最新バージョンにアップグレードできない場合は、Confluence インストールの関連プラグイン (下記) をアップグレードして、このセキュリティ アドバイザリに記載されている脆弱性を修正できます。

プラグイン マネージャを使用した Confluence のプラグインのアップグレードの詳細については、次をご参照ください。

これらの修正を手動で適用する必要がある場合、パッチは関連する課題 (上記の表に記載) にも添付されています。

Please note that we have released a number of advisories about Confluence recently. We recommend that you review them and upgrade to the most recent release of the product or apply external security controls if you cannot. Most of the disclosed vulnerabilities are not critical and often present less risk when used in a corporate environment with no access from the Internet.

We usually provide patches only for vulnerabilities of critical severity, as an interim solution until you can upgrade. You should not expect that you can continue patching your system instead of upgrading. Our patches are often non-cumulative – we do not recommend that you apply multiple patches from different advisories on top of each other, but strongly recommend to upgrade to the most recent version regularly.

We recommend patching only when you can neither upgrade nor apply external security controls.

ページを含めるマクロ

サポートされている Confluence バージョン

Issue Tracking

ファイル名

ダウンロード可能なパッチ

3.4.x

CONF-21604

confluence-advanced-macros-1.12.4.jar

ダウンロード

3.3.x

CONF-21604

confluence-advanced-macros-1.9.3.jar

ダウンロード

この修正を適用するには、プラグイン マネージャーを使用して、高度なマクロ プラグインを、上記のファイル名で指定されたバージョン以上のバージョンにアップグレードします。

アクティビティ ストリームガジェット

サポートされている Confluence バージョン

Issue Tracking

ファイル名

ダウンロード可能なパッチ

3.3.x

CONF-21606

streams-confluence-plugin-3.3-CONF-21606.jar

ダウンロード

3.4.x

CONF-21606

streams-confluence-plugin-3.4.6.jar

ダウンロード

現時点では、3.4 プラグイン マネージャまたは 3.3 プラグイン リポジトリを使用してアクティビティ ストリームを自動アップグレードできません。代わりに、次のプラグインを手動でインストールする必要があります。

  1. ご利用の Confluence のバージョン用の JAR ファイルをダウンロードします (上記参照)。
  2. プラグイン マネージャーの [Install (インストール)] タブにある [Upload Plugin (プラグインのアップロード)] リンクを使用して、プラグインを手動でインストールします。
添付ファイル リストのアクション リンク

サポートされている Confluence バージョン

Issue Tracking

ファイル名

ダウンロード可能なパッチ

3.3.x, 3.4.x

CONF-21766

confluence-attachments-plugin-2.20.jar

ダウンロード

この修正を適用するには、プラグイン マネージャーを使用して、Confluence 添付ファイル プラグイン プラグインを、上記のファイル名で指定されたバージョン以上のバージョンにアップグレードします。

コンテンツ テーブル マクロ

サポートされている Confluence バージョン

Issue Tracking

ファイル名

ダウンロード可能なパッチ

3.3.x, 3.4.x

CONF-21819

toc-plugin-2.4.12.jar

ダウンロード

この修正を適用するには、プラグイン マネージャを使用して、目次プラグインを上記のファイル名で指定されたバージョン以上のバージョンにアップグレードします。

最終更新日 2014 年 8 月 11 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.