Confluence セキュリティ勧告 - 2014-02-26
このアドバイザリでは、Confluence で発見されて最新バージョンの Confluence で修正された重大なセキュリティの脆弱性について詳述します。
- Confluence をダウンロードしてインストールしたお客様は、既存の Confluence インストールのアップグレード、またはこの脆弱性を修正するためのパッチを適用する必要があります。
- Atlassian OnDemand のお客様は、このアドバイザリに記載されている問題に対する修正でアップグレードされています。
この脆弱性は、5.4.1 を含む Confluence のすべてのバージョンに影響します。
アトラシアンは製品セキュリティの向上に取り組んでいます。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。
このアドバイザリに関してご質問や懸念がある場合は、https://support.atlassian.com でサポート リクエストを起票してください。
ユーザー権限のエスカレーション
深刻度
アトラシアンは、セキュリティの問題の重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを重大として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。
This is an independent assessment and you should evaluate its applicability to your own IT environment.
説明
Confluence の脆弱性を特定して修正しました。この脆弱性は、未認証のユーザーが他の認証済みユーザーに代わってアクションをコミットできるという内容でした。この脆弱性を悪用するには、攻撃者が Confluence Web インターフェイスにアクセスする必要があります。
この脆弱性は、5.4.1 を含む Confluence のすべてのサポート対象バージョンに影響します。
Versions 5.3.4, 5.4 and 5.4.1 are not vulnerable but require patches for compatibility purposes in order to be able to connect to patched or upgraded versions of JIRA and other Atlassian products. You do not need to patch these versions if you are not using Application Links with Trusted Applications authentication configured.
This issue has been fixed in 5.4.2. The issue is tracked in CONF-31628 - Getting issue details... STATUS .
Risk Mitigation
If you are unable to upgrade or patch your Confluence server you can do the following as a temporary workaround:
- Block access to your Confluence server web interface from untrusted networks, such as the Internet.
- セキュア管理者セッションを有効にすると、管理者アカウントに対する権限のエスカレーションが防止されます。権限を持たないアカウントは引き続き脆弱性を持ちます。
修正
This vulnerability can be fixed by upgrading Confluence. There is also a patch available for this vulnerability for all supported versions of Confluence. If you have any questions, please raise a support request at support.atlassian.com. We recommend upgrading.
セキュリティ パッチ ポリシーでは、製品のセキュリティ パッチとセキュリティ アップグレードをいつどのようにリリースするかを説明しています。
Confluence のアップグレード
この脆弱性が修正された Confluence 5.4.3 以降のバージョンにアップグレードしてください。これらのリリースの詳細については、Confluence リリース ノートを参照してください。Confluence の最新のバージョンは、ダウンロード センターからダウンロードできます。Atlassian OnDemand から移行し、Confluence 5.x-OD を使用している場合は、5.4.3 以降のバージョンにアップグレードする必要があります。
Patches
アップグレードできない、または外部セキュリティ制御を適用できない場合に限り、パッチの適用をお勧めします。通常、パッチは重大度が高い脆弱性 (セキュリティ パッチ ポリシーに基づく) に対してのみ、アップグレードできるまでの暫定的な解決策として提供されます。アップグレードを行わずに、システムに対してパッチを継続的に適用しないでください。私たちのパッチは累積的ではないことが多く、異なるアドバイザリのパッチを複数重ねて適用することはお勧めしません。定期的に最新バージョンにアップグレードすることを強くお勧めします。
何らかの理由で Confluence の最新バージョンにアップグレードできない場合は、リリースの最後のマイナー バージョンにアップグレードしてから (Confluence 5.1.1 を使用している場合は、5.1.5 にアップグレードする必要があります) 以下のパッチを適用し、このアドバイザリで説明されている脆弱性を修正します。
1. パッチ パッケージをダウンロードします。
パッチは、各メジャー リリースにおける最終のマイナー バージョンに対して提供されます。同一の Confluence バージョンがインストールされていない場合は、パッチを適用するために、リリースの最終マイナー バージョンにアップグレードする必要があります (つまり Confluence 5.1.1 をお持ちの場合は、パッチを適用できるようにするために 5.1.5 にアップグレードする必要があります)
バージョン | パッチ パッケージ | md5 |
|---|---|---|
| Confluence 5.4.2 | confluence-54-patch.zip | 3997f741fef95850d9a41269d8b59f4b |
| Confluence 5.3.4 | confluence-53-patch.zip | ad8953649af0fb7c142aef4e87f7d9da |
| Confluence 5.2.5 | confluence-52-patch.zip | 27630883702d43d9a667fac4a59e9e04 |
| Confluence 5.1.5 | confluence-51-patch.zip | 8832e26f9535ed854cb26f69195c1b75 |
| Confluence 5.0.3 | confluence-50-patch.zip | 79f426f4e87b96e662bd9ad89a28003a |
| Confluence 4.3.7 | confluence-43-patch.zip | 070f07c330e1d5d752e182931ab0bc41 |
| Confluence 4.2.13 | confluence-42-patch.zip | 038e111a8efbb1929740877a80800765 |
| Confluence 4.1.10 | confluence-41-patch.zip | fc80d7a85502365eaa01d2cfb99c3015 |
| Confluence 4.0.7 | confluence-40-patch.zip | 1444ff34ba01219621fc7e43ec358d71 |
2. パッチを適用して確認するには、特定のオペレーティング システムに応じたステップに従います。
- Linux / Unix
パッチ パッケージを解凍して、README.txt ファイルの指示に従います。提供されているスクリプトを使用してパッチを適用します。 - Windows
パッチ パッケージを解凍して、README.txt ファイルの指示に従います。パッチは手動で適用する必要があります。