Confluence セキュリティ勧告 - 2014-02-26
このアドバイザリでは、Confluence で発見されて最新バージョンの Confluence で修正された重大なセキュリティの脆弱性について詳述します。
- Confluence をダウンロードしてインストールしたお客様は、既存の Confluence インストールのアップグレード、またはこの脆弱性を修正するためのパッチを適用する必要があります。
- Atlassian OnDemand customers have been upgraded with the fix for the issue described in this advisory.
この脆弱性は、5.4.1 を含む Confluence のすべてのバージョンに影響します。
アトラシアンは製品セキュリティの向上に取り組んでいます。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。
このアドバイザリに関してご質問や懸念がある場合は、https://support.atlassian.com でサポート リクエストを起票してください。
ユーザー権限のエスカレーション
深刻度
アトラシアンは、セキュリティの問題の重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを重大として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。
This is an independent assessment and you should evaluate its applicability to your own IT environment.
説明
Confluence の脆弱性を特定して修正しました。この脆弱性は、未認証のユーザーが他の認証済みユーザーに代わってアクションをコミットできるという内容でした。この脆弱性を悪用するには、攻撃者が Confluence Web インターフェイスにアクセスする必要があります。
この脆弱性は、5.4.1 を含む Confluence のすべてのサポート対象バージョンに影響します。
バージョン 5.3.4、5.4、5.4.1 は脆弱性を有していません。ただし、パッチ適用済みまたはアップグレード済みのバージョンの Jira とその他のアトラシアン製品に接続するには、互換性のためにパッチが必要です。信頼されたアプリケーション認証が設定されたアプリケーション リンクを使用していない場合は、これらのバージョンにパッチを適用する必要はありません。
この問題は 5.4.2. で修正されました。CONF-31628 - 課題情報を取得中... ステータス で追跡できます。
Risk Mitigation
If you are unable to upgrade or patch your Confluence server you can do the following as a temporary workaround:
- Block access to your Confluence server web interface from untrusted networks, such as the Internet.
- セキュア管理者セッションを有効にすると、管理者アカウントに対する権限のエスカレーションが防止されます。権限を持たないアカウントは引き続き脆弱性を持ちます。
修正
This vulnerability can be fixed by upgrading Confluence. There is also a patch available for this vulnerability for all supported versions of Confluence. If you have any questions, please raise a support request at support.atlassian.com. We recommend upgrading.
セキュリティ パッチ ポリシーでは、製品のセキュリティ パッチとセキュリティ アップグレードをいつどのようにリリースするかを説明しています。
Confluence のアップグレード
Upgrade to Confluence 5.4.3 or a later version, which fixes this vulnerability. For a full description of these releases, see the Confluence Release Notes. You can download these versions of Confluence from the download centre. If you have migrated from Atlassian OnDemand and are using Confluence 5.x-OD, you should upgrade to 5.4.3 or a later version.
Patches
アップグレードできない、または外部セキュリティ制御を適用できない場合に限り、パッチの適用をお勧めします。通常、パッチは重大度が高い脆弱性 (セキュリティ パッチ ポリシーに基づく) に対してのみ、アップグレードできるまでの暫定的な解決策として提供されます。アップグレードを行わずに、システムに対してパッチを継続的に適用しないでください。私たちのパッチは累積的ではないことが多く、異なるアドバイザリのパッチを複数重ねて適用することはお勧めしません。定期的に最新バージョンにアップグレードすることを強くお勧めします。
何らかの理由で Confluence の最新バージョンにアップグレードできない場合は、リリースの最後のマイナー バージョンにアップグレードしてから (Confluence 5.1.1 を使用している場合は、5.1.5 にアップグレードする必要があります) 以下のパッチを適用し、このアドバイザリで説明されている脆弱性を修正します。
1. パッチ パッケージをダウンロードします。
パッチは、各メジャー リリースにおける最終のマイナー バージョンに対して提供されます。同一の Confluence バージョンがインストールされていない場合は、パッチを適用するために、リリースの最終マイナー バージョンにアップグレードする必要があります (つまり Confluence 5.1.1 をお持ちの場合は、パッチを適用できるようにするために 5.1.5 にアップグレードする必要があります)
バージョン | パッチ パッケージ | md5 |
|---|---|---|
| Confluence 5.4.2 | confluence-54-patch.zip | 3997f741fef95850d9a41269d8b59f4b |
| Confluence 5.3.4 | confluence-53-patch.zip | ad8953649af0fb7c142aef4e87f7d9da |
| Confluence 5.2.5 | confluence-52-patch.zip | 27630883702d43d9a667fac4a59e9e04 |
| Confluence 5.1.5 | confluence-51-patch.zip | 8832e26f9535ed854cb26f69195c1b75 |
| Confluence 5.0.3 | confluence-50-patch.zip | 79f426f4e87b96e662bd9ad89a28003a |
| Confluence 4.3.7 | confluence-43-patch.zip | 070f07c330e1d5d752e182931ab0bc41 |
| Confluence 4.2.13 | confluence-42-patch.zip | 038e111a8efbb1929740877a80800765 |
| Confluence 4.1.10 | confluence-41-patch.zip | fc80d7a85502365eaa01d2cfb99c3015 |
| Confluence 4.0.7 | confluence-40-patch.zip | 1444ff34ba01219621fc7e43ec358d71 |
2. パッチを適用して確認するには、特定のオペレーティング システムに応じたステップに従います。
- Linux / Unix
パッチ パッケージを解凍して、README.txt ファイルの指示に従います。提供されているスクリプトを使用してパッチを適用します。 - Windows
パッチ パッケージを解凍して、README.txt ファイルの指示に従います。パッチは手動で適用する必要があります。