Confluence セキュリティ勧告 - 2012-05-17
このアドバイザリは、4.1.9 を含む Confluence のすべてのバージョンに存在する重大なセキュリティの脆弱性を開示しています。
- Customers who have downloaded and installed Confluence should upgrade their existing Confluence installations to fix this vulnerability.
- Enterprise ホスト型のお客様は、「Enterprise ホスト型サポート」プロジェクトの http://support.atlassian.com で、サポート リクエストを送信してアップグレードをリクエストする必要があります。
- Jira Studio および Atlassian OnDemand のお客様は、このアドバイザリに記載されている問題の影響を受けることはありません。
Atlassian is committed to improving product security. The vulnerability listed in this advisory has been discovered by Atlassian, unless noted otherwise. The reporter may also have requested that we do not credit them.
このアドバイザリに関してご質問や懸念がある場合は、https://support.atlassian.com/ でサポート リクエストを起票してください。
In this advisory:
重大な XML 解析の脆弱性
深刻度
アトラシアンは、セキュリティの問題の重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを重大として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。
This is an independent assessment and you should evaluate its applicability to your own IT environment.
説明
サードパーティの XML パーサーが Confluence で使用される方法から生じる Confluence の脆弱性を、特定して修正しました。この脆弱性によって、攻撃者が次を実行できるようになります。
- Confluence サーバーに対するサービス拒否攻撃を実行する、または
- read all local files readable to the system user under which Confluence runs.
攻撃者は、影響を受ける Confluence インスタンスのアカウントは不要です。
Confluence 4.1.9 までのすべてのバージョンは、この脆弱性の影響を受けます。この課題は - CONF-25077課題情報を取得中... ステータスで追跡できます。
Confluence プラグインの Gliffy も、この悪用に対して脆弱です。Confluence の Gliffy プラグインを任意のバージョンの Confluence とともに使用している場合は、アップグレードするか (下記「修正」セクション参照)、無効にする必要があります。
Risk Mitigation
この脆弱性を解決するために、Confluence インストールをアップグレードすることをお勧めします。
または、すぐにアップグレードする立場にない場合は、アップグレードできるようになるまで次のすべてを実行する必要があります。これらの対策は脆弱性の影響を制限するだけで、完全に緩和するわけではないことにご注意ください。
- Disable access to the SOAP and XML-RPC APIs, if these remote APIs are not required. Note, remote API access is disabled by default. See enabling remote APIs for instructions.
Disable the following plugins/plugin modules (see Disabling and enabling apps):- Office コネクタ プラグイン
- Confluence の高度なマクロ プラグインの JUnitReport マクロ モジュール (インターフェイスでは「高度なマクロ」と呼ばれます)
- Confluence Jira3 マクロ プラグイン (インターフェイスでは「Jira マクロ」と呼ばれます)
- webdav
- アップグレードするまでは、Confluence に対するパブリック アクセス (匿名アクセスやパブリック サインアップなど) を無効にします。
- Confluence のセキュリティ設定のベスト プラクティスの説明に従って、Confluence システム ユーザーが制限されていることを確認します。
修正
アップグレード
- Confluence 4.2 以上にアップグレードします。これによって、この脆弱性が修正されます。このリリースの詳細な説明については「 Confluence 4.2 リリースノート」をご参照ください。古いバージョンの Confluence でこれらの問題を修正するために、次のリリースも提供されています。Confluence のこれらのバージョンは、ダウンロード センターからダウンロードできます。
- Confluence 4.1 用の Confluence 4.1.10
- Confluence 4.0 用の Confluence 4.0.7
- Confluence 3.5.17 for Confluence 3.5
次の Confluence サードパーティ プラグインを使用している場合は、アップグレードします。下の表は、Confluence のバージョンに応じて、どのバージョンのプラグインにアップグレードすべきかを説明しています。プラグインをアップデートする方法については、「アドオンの更新」を参照してください。
プラグイン Confluence 4.2 Confluence 4.1 Confluence 4.0 Confluence 3.5 Gliffy plugin for Confluence
4.2 4.2 4.2 4.2
Patches
この脆弱性に対して利用可能なパッチはありません。脆弱性を修正するために必要な変更の程度によって、Confluence の信頼性を損なうことなくこの課題を解決するパッチは提供できません。この脆弱性を修正するには、アップグレードする必要があります。