Confluence セキュリティ勧告 - 2012-09-11

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

このアドバイザリでは、Confluence の最新バージョンで見つかって修正されたセキュリティの脆弱性を公開します。

  • Confluence をダウンロードしてインストールしたお客様は、既存の Confluence インストールをアップグレードして脆弱性を修正する必要があります。
  • Enterprise Hosted のお客様は、サポート リクエストを提起してアップグレードをリクエストする必要があります。 
  • Atlassian OnDemand と Jira Studio のお客様は、このアドバイザリに記載されている問題の影響は受けません。

Atlassian is committed to improving product security. The vulnerability listed in this advisory has been discovered by Atlassian, unless noted otherwise. The reporter may also have requested that we do not credit them. 

このアドバイザリに関してご質問や懸念がある場合は、https://support.atlassian.com/ でサポート リクエストを起票してください。

In this advisory:

XSS 脆弱性

深刻度

アトラシアンは、セキュリティの問題の重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを高度として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。
これは独立した評価であり、お客様自身の IT 環境への適用性を評価する必要があります。この脆弱性は重大ではありません

説明

公開されているインスタンス (インターネットに直接接続されたサーバー) を含む、Confluence インスタンスに影響する、間接的に生じる、または永続的でない Cross-site Scripting (XSS) の脆弱性を、特定して修正しました。XSS 脆弱性によって、Confluence ページが被害者のブラウザーで表示されるときに、攻撃者が独自の JavaScript を Confluence ページに埋め込めます。攻撃者にとって Confluence サーバー上のアカウントは不要です。ただし、攻撃が成功しても、必ずしもサーバー コンテンツが変更されるとは限りません。

この脆弱性に対する具体的な緩和策を検討する前に、WikipediaWeb Application Security Consortium、Web 上の他の場所で XSS 攻撃に関する詳細を参照することをお勧めします。

この脆弱性は Confluence 4.1.8 より前のすべてのバージョンに影響します。これは Confluence 4.1.9 以降で修正されています。この課題は CONF-26366 - 課題情報を取得中... ステータスで追跡できます。

Risk Mitigation

この脆弱性を修正するには、Confluence インストールをアップグレードすることを強くお勧めします。以下の「修正」セクションをご参照ください。

考えられる回避策の 1 つは、特定の URL へのリクエストが Confluence に到達する前にブロックすることです。ファイル名が .vm である任意の Confluence URL に対する HTTP GET リクエストをブロックする必要があります。たとえば、Confluence に対応するために Apache Web サーバーを使用して、Confluence が /wiki パスにある場合は、次のルールを設定して XSS の試行をブロックできます。

<LocationMatch ^/wiki/.*\.vm\?.* >
   Deny from all
</LocationMatch>

<LocationMatch ^/wiki/.*\.vm$ >
   Deny from all
</LocationMatch>

回避策を適用する前に、XSS 攻撃の仕組みに関する上記のリンクを読むことをお勧めします。このコードは一例に過ぎません。

修正

アップグレード

脆弱性と修正バージョンは、上記の「説明」セクションで説明されています。

可能であれば、Confluence 4.1.9 以降にアップグレードすることをお勧めします。Confluence の最新バージョンの完全な説明については、リリース ノートをご確認ください。Confluence の最新のバージョンは、ダウンロード センターからダウンロードできます。

2012 年 9 月 13 日のアップデート: Confluence 3.5.x のパッチが利用可能になりました。パッチ ファイルと手順については、課題 CONF-26366 - 課題情報を取得中... ステータスをご参照ください。このパッチは現行のセキュリティ パッチ ポリシーを超えているため、今後、同様のパッチは利用できないことが予想されます。パッチ適用はアップグレードできない際の最終手段です。

このアドバイザリで説明されている XSS 脆弱性を報告してくださった Intrest SECD. Niedermaier 様に感謝いたします。アトラシアンでは脆弱性の報告を完全にサポートしており問題の特定と解決に対する皆様の協力に感謝しています。

最終更新日 2016 年 8 月 10 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.