Confluence セキュリティ勧告 - 2014-05-21

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

This advisory discloses a critical security vulnerability that we have found in Confluence and fixed in a recent version of Confluence.

  • Customers who have downloaded and installed Confluence should upgrade their existing Confluence installations or apply the patch to fix this vulnerability.  
  • Atlassian OnDemand のお客様は、このアドバイザリに記載されている問題に対する修正でアップグレードされています。
  • No other Atlassian products are affected.

The vulnerability affects all versions of Confluence up to and including 5.5.1

アトラシアンは製品セキュリティの向上に取り組んでいます。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。

このアドバイザリに関してご質問や懸念がある場合は、https://support.atlassian.com でサポート リクエストを起票してください。

ClassLoader manipulation vulnerability

深刻度

Atlassian rates the severity level of this vulnerability as critical, according to the scale published in Severity Levels of Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.

This is an independent assessment and you should evaluate its applicability to your own IT environment.

説明

Apache Struts の一部でもある、Xwork ライブラリのバージョンの脆弱性を修正しました。攻撃者はこの脆弱性を悪用して、これらのフレームワークを使用するシステム上で任意の Java コードを選択して実行できます。攻撃者は Confluence Web インターフェイスにアクセスできる必要があります。匿名アクセスが有効になっている際は、この脆弱性を悪用するために有効なユーザー アカウントは不要です。

この脆弱性は、最近の Struts セキュリティ アドバイザリのレビュー中に発見されました。この脆弱性は Confluence に固有のものです。

The vulnerability affects all versions of Confluence up to and including 5.5.1 Confluence 5.5.2 is not vulnerable. The issue is tracked in  CONF-33515 - Getting issue details... STATUS .

Risk Mitigation

If you are unable to upgrade or patch your Confluence server you can do the following as a temporary workaround:

  • Block at a reverse proxy or a firewall all requests matching the following regular expression pattern in request parameters. Note that the example does not account for any URL encoding that may be present.

    .*[?&](.*\.||.*|\[('|"))(c|C)lass(\.|('|")]|\[).*

修正

この脆弱性は、Confluence をアップグレードすることで修正できます。また、Confluence のすべてのサポート対象バージョンについて、この脆弱性に対するパッチも利用可能です。アップグレードをお勧めします。

Confluence Cluster には利用可能なアップグレードがありません。ユーザーは現在、以下で説明するようにパッチを適用する必要があります。

セキュリティ パッチ ポリシーでは、製品のセキュリティ パッチとセキュリティ アップグレードをいつどのようにリリースするかを説明しています。  

Confluence のアップグレード

Upgrade to Confluence 5.5.2 or a later version, which fixes this vulnerability. For a full description of these releases, see the Confluence Release Notes. You can download these versions of Confluence from the download center.

Patches

通常、パッチは重大な重大度の脆弱性に対してのみ (セキュリティ パッチ ポリシーに従って)、アップグレードできるまでの暫定的な解決策として提供されます。アップグレードする代わりにシステムにパッチを適用し続けられることを期待すべきではありません。アトラシアンのパッチは累積的ではないことが多く、異なる勧告のパッチを複数重ねて適用することはお勧めしません。定期的に最新バージョンにアップグレードすることを強くお勧めします。

If for some reason you cannot upgrade to the latest version of Confluence, you must apply the patch provided below to fix the vulnerability described in this advisory. It has been tested for all supported versions of Confluence and may work for unsupported versions as well.

Patching supported versions of Confluence 4.2 - 5.5.1
  1. Download the patch file.

    バージョン
    Patch
    Tracking issue
    Confluence 4.2 - 5.5.1atlassian-xwork-core-1.17.jar CONF-33515 - Getting issue details... STATUS

    MD5 (atlassian-xwork-core-1.17.jar)= 3e05c38578eec3583b9d5ef5e28fd058

  2. Confluence をシャットダウンします。
  3. Move file <CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/atlassian-xwork-core-1.13.jar to a location outside the <CONFLUENCE-INSTALL> folder.
  4. ダウンロードした atlassian-xwork-core-1.17.jar ファイルをフォルダー <CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/ に追加します。
  5. Start up Confluence again.

To confirm that you have applied the patch successfully, check the version of the xwork jar that has been loaded into Confluence as follows.

  1. Log in as administrator.
  2. インスタンスの /admin/classpath.action URL に移動して「/atlassian-xwork-core」を検索します。 
  3. 1 つだけ atlassian-xwork-core-1.17.jar がヒットするはずです。これにより、パッチが正しく適用されたことが確認されます。
Confluence 4.1 の EOL バージョンのパッチ適用

4.1 では、atlassian-xwork-core-1.17.jar を使用して、上記と同じ手順に従います。

Patching EOL versions of Confluence 3.5 - 4.0
  1. 次の表の説明で説明されているように、3 つのファイルをダウンロードします。

    バージョン
    Patch
    Tracking issue
    Confluence 3.5 - 4.0atlassian-xwork-10-1.17.jar
    atlassian-xwork-core-1.17.jar
    xwork-1.0.3.6.jar 
    CONF-33738 - Getting issue details... STATUS

    MD5 (atlassian-xwork-10-1.17.jar)= 789acc22737e29577b9e843d5faf0317
    MD5 (atlassian-xwork-core-1.17.jar)= 3e05c38578eec3583b9d5ef5e28fd058 
    MD5 (xwork-1.0.3.6.jar)= 59c8950b1129637bb63aea94b4139d7f 

  2. Confluence をシャットダウンします。
  3. 次のファイルを <CONFLUENCE-INSTALL> フォルダー外の場所に移動します。
    1. <CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/atlassian-xwork-10.1.12.jar
    2. <CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/atlassian-xwork-core.1.12.jar
    3. <CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/xwork-1.0.3.2.jar
  4. Add the downloaded files to the <CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/ folder.
  5. Start up Confluence again

To confirm that you have applied the patch successfully, check the version of the xwork jar that has been loaded into Confluence as follows.

  1. Log in as administrator.
  2. インスタンスの /admin/classpath.action URL に移動して「xwork」を検索します。 
  3. atlassian-xwork-10-1.17.jar、atlassian-xwork-core-1.17.jar、および xwork-1.0.3.6.jar の 3 つがヒットするはずです。これにより、パッチが正しく適用されたことが確認されます。
最終更新日 2014 年 8 月 28 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.