Confluence セキュリティ勧告 - 2011-05-31

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

以前は、CONF-22479 (ユーザー設定) が 2.7 以降のすべてのバージョンに影響すると誤ってお知らせしておりましたが、実際に悪用する可能性があるのは 3.5 以上のみでした。申し訳ございませんでした、二度とこのようなことがないようにいたします。

このバグの根本原因を取り除いて他の同様の脆弱性が現れるのを潜在的に防ぐために、3.4 にパッチを引き続き適用できます。

このアドバイザリでは、Confluence で発見されて最新バージョンの Confluence で修正されたセキュリティの脆弱性についてお知らせします。また、Confluence の既存のインストールに適用してこれらの脆弱性を修正できる、アップグレードされたプラグインとパッチも提供しています。ただし、影響を受けるプラグインのみをアップグレードするのではなく、Confluence の完全なインストールをアップグレードすることをお勧めします。Enterprise ホスト型のお客様は、http://support.atlassian.com でサポート リクエストを送信して、アップグレードをリクエストする必要があります。Jira Studio は、このアドバイザリで説明されている問題に対する脆弱性はありません。

Atlassian is committed to improving product security. The vulnerabilities listed in this advisory have been discovered by Atlassian, unless noted otherwise. The reporter may also have requested that we do not credit them.

In this advisory:

XSS Vulnerabilities

深刻度

アトラシアンは、セキュリティの問題の重大度レベルで公開されているスケールに従って、これら両方の脆弱性の重大度レベルを高度として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。
これらの脆弱性は重要ではありません。これは独立した評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

Risk Assessment

公開されているインスタンス (インターネットに直接接続しているサーバー) を含む、Confluence インスタンスに影響を与える可能性がある Cross-site Scripting (XSS) の脆弱性を、特定して修正しました。XSS 脆弱性によって、攻撃者が独自の JavaScript を Confluence ページに埋め込めます。XSS 攻撃の詳細については、cgisecurity.com をお読みください。Web Application Security Consortium と Web 上の他の場所でご確認いただけます。

Vulnerability

The table below describes the Confluence versions and the specific functionality affected by the XSS vulnerabilities.

Confluence Feature

影響する Confluence バージョン

修正対象バージョン

Issue Tracking

ログイン

3.5 – 3.5.2

3.5.3

CONF-22402

ユーザー設定

3.5 – 3.5.2

3.5.3

CONF-22479


上記の脆弱性を報告してくださった Marian Ventuneac (http://www.ventuneac.net) に感謝いたします。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。

Risk Mitigation

We recommend that you upgrade your Confluence installation to fix these vulnerabilities.

あるいは、すぐにアップグレードする立場にないが必要だと判断した場合は、必要なパッチを適用するかアップグレードを実行するまで、wiki へのパブリック サインアップを無効にできます。さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。

また、Confluence セキュリティの設定に関するベスト プラクティスに関するガイドラインを読むことをお勧めします。

修正

これらの脆弱性 (CONF-22402CONF-22479) は、どちらも Confluence 3.5.3 以降のバージョンで修正されています。
Confluence の最新バージョンの完全な説明については、リリース ノートをご確認ください。Confluence の最新のバージョンは、ダウンロード センターからダウンロードできます。

Confluence の最新バージョンにアップグレードできない場合は、以下に示すパッチを使用して既存のインストールに一時的にパッチを適用できます。パッチを適用するのではなくアップグレードすることを強くお勧めします。

Patches

Confluence 3.5 を実行している場合は、Confluence 3.5.3 以降にアップグレードすることを強くお勧めします。
Confluence 3.4 を使用している場合は、次のパッチを適用して CONF-22479 の脆弱性を修正できます。CONF-22402 の脆弱性は Confluence 3.4 には影響しません。

Vulnerability

Patch

パッチ ファイル名

ユーザー設定

課題 CONF-22479 に添付

CONF-22479_patch.zip

パッチ手順: パッチをインストールする

Confluence 3.4 ~ 3.4.9 用のパッチが利用可能です。

The patch addresses the following issue:

Confluence ユーザー設定におけるセキュリティの脆弱性 (CONF-22479)。

Applying the patch

Confluence 3.4 ~ 3.4.9: を使用している場合は、次の手順に従います。

  1. 課題 CONF-22479 に添付されている CONF-22479_patch.zip ファイルをダウンロードします。
  2. Confluence を停止します。
  3. <confluence_install_dir> ディレクトリのバックアップを作成します。
  4. ダウンロードした zip ファイルを <confluence_install_dir> に展開して、既存のファイルを上書きします。
  5. 次のファイルが作成されたことを確認します。
    • confluence/WEB-INF/classes/com/atlassian/confluence/core/ConfluenceActionSupport.properties
    • confluence/WEB-INF/classes/com/atlassian/confluence/languages/DefaultLocaleManager.class
    • confluence/WEB-INF/classes/com/atlassian/confluence/user/actions/EditMySettingsAction.class
  6. Confluence を再起動します。

XSRF の脆弱性

深刻度

アトラシアンは、セキュリティの問題の重大度レベルで公開されているスケールに従って、これら両方の脆弱性の重大度レベルを中度として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。
この脆弱性は重要ではありません。これは独立した評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

Risk Assessment

公開されているインスタンス (インターネットに直接接続しているサーバー) を含む、Confluence インスタンスに影響を与える可能性がある Cross-site Request Forgery (XSRF) の脆弱性を、特定して修正しました。XSRF の脆弱性によって、攻撃者はユーザーをだまして Confluence スペースにブックマークを意図せず追加させられます。XSRF 攻撃の詳細については、http://www.cgisecurity.com/csrf-faq.html や Web 上の他の場所をご参照ください。

Vulnerability

以下の表は、Confluence のバージョンと XSRF の脆弱性の影響を受ける特定の機能について説明しています。

Confluence Feature

影響する Confluence バージョン

修正対象バージョン

Issue Tracking

Social Bookmarking プラグイン

3.0 – 3.4.9

3.5

CONF-22565

Risk Mitigation

We recommend that you upgrade your Confluence installation to fix these vulnerabilities.

あるいは、すぐにアップグレードする立場にないが必要だと判断した場合は、必要なパッチを適用するかアップグレードを実行するまで、wiki へのパブリック サインアップを無効にできます。さらに厳しく制御するために、信頼されたグループへのアクセスを制限できます。

また、Confluence セキュリティを設定するための Confluence セキュリティの設定に関するベスト プラクティスのガイドラインを読むこともお勧めします。

修正

この脆弱性 (CONF-22565) は Confluence 3.5 以降のバージョンで修正されています。
Confluence の最新バージョンの完全な説明については、リリース ノートをご確認ください。Confluence の最新のバージョンは、ダウンロード センターからダウンロードできます。

Confluence の最新バージョンにアップグレードできない場合は、以下に示すパッチを使用して既存のインストールに一時的にパッチを適用できます。パッチを適用するのではなくアップグレードすることを強くお勧めします。

Patches

Confluence 3.5 を実行している場合、CONF-22565 の脆弱性はすでに修正されていますが、Confluence の最新バージョンにアップグレードすることを強くお勧めします。
Confluence 3.4 を実行している場合は、次のパッチを適用して CONF-22565 の脆弱性を修正できます。

プラグイン マネージャを使用した Confluence のプラグインのアップグレードの詳細については、次をご参照ください。

Vulnerability

Patch

パッチ ファイル名

Social Bookmarking プラグイン

課題 CONF-22565 に添付

socialbookmarking-1.3.9.jar

パッチ手順: パッチをインストールする

Confluence 3.4 ~ 3.4.9 用のパッチが利用可能です。

The patch addresses the following issue:

  • Confluence 設定ソーシャル ブックマーク プラグインにおけるセキュリティの脆弱性 (CONF-22565)。
Applying the patch

Confluence 3.4 ~ 3.4.9 を使用している場合は、プラグイン マネージャーを使用して、ソーシャル ブックマーク プラグインを上記のファイル名で指定されたバージョン以上のバージョンにアップグレードしてください。
プラグイン マネージャの使用に関する詳細については「既存のプラグインのアップグレード」をご参照ください。

最終更新日 2011 年 6 月 2 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.