Confluence セキュリティ勧告 - 2014-05-21
This advisory discloses a critical security vulnerability that we have found in Confluence and fixed in a recent version of Confluence.
- Customers who have downloaded and installed Confluence should upgrade their existing Confluence installations or apply the patch to fix this vulnerability.
- Atlassian OnDemand のお客様は、このアドバイザリに記載されている問題に対する修正でアップグレードされています。
- No other Atlassian products are affected.
The vulnerability affects all versions of Confluence up to and including 5.5.1
アトラシアンは製品セキュリティの向上に取り組んでいます。当社では脆弱性の報告を完全にサポートしており、問題の特定と解決に対する皆様の協力に感謝しています。
このアドバイザリに関してご質問や懸念がある場合は、https://support.atlassian.com でサポート リクエストを起票してください。
ClassLoader manipulation vulnerability
深刻度
Atlassian rates the severity level of this vulnerability as critical, according to the scale published in Severity Levels of Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.
This is an independent assessment and you should evaluate its applicability to your own IT environment.
説明
Apache Struts の一部でもある、Xwork ライブラリのバージョンの脆弱性を修正しました。攻撃者はこの脆弱性を悪用して、これらのフレームワークを使用するシステム上で任意の Java コードを選択して実行できます。攻撃者は Confluence Web インターフェイスにアクセスできる必要があります。匿名アクセスが有効になっている際は、この脆弱性を悪用するために有効なユーザー アカウントは不要です。
この脆弱性は、最近の Struts セキュリティ アドバイザリのレビュー中に発見されました。この脆弱性は Confluence に固有のものです。
The vulnerability affects all versions of Confluence up to and including 5.5.1 Confluence 5.5.2 is not vulnerable. The issue is tracked in CONF-33515 - Getting issue details... STATUS .
Risk Mitigation
If you are unable to upgrade or patch your Confluence server you can do the following as a temporary workaround:
Block at a reverse proxy or a firewall all requests matching the following regular expression pattern in request parameters. Note that the example does not account for any URL encoding that may be present.
.*[?&](.*\.||.*|\[('|"))(c|C)lass(\.|('|")]|\[).*
修正
この脆弱性は、Confluence をアップグレードすることで修正できます。また、Confluence のすべてのサポート対象バージョンについて、この脆弱性に対するパッチも利用可能です。アップグレードをお勧めします。
Confluence Cluster には利用可能なアップグレードがありません。ユーザーは現在、以下で説明するようにパッチを適用する必要があります。
セキュリティ パッチ ポリシーでは、製品のセキュリティ パッチとセキュリティ アップグレードをいつどのようにリリースするかを説明しています。
Confluence のアップグレード
Upgrade to Confluence 5.5.2 or a later version, which fixes this vulnerability. For a full description of these releases, see the Confluence Release Notes. You can download these versions of Confluence from the download center.
Patches
通常、パッチは重大な重大度の脆弱性に対してのみ (セキュリティ パッチ ポリシーに従って)、アップグレードできるまでの暫定的な解決策として提供されます。アップグレードする代わりにシステムにパッチを適用し続けられることを期待すべきではありません。アトラシアンのパッチは累積的ではないことが多く、異なる勧告のパッチを複数重ねて適用することはお勧めしません。定期的に最新バージョンにアップグレードすることを強くお勧めします。
If for some reason you cannot upgrade to the latest version of Confluence, you must apply the patch provided below to fix the vulnerability described in this advisory. It has been tested for all supported versions of Confluence and may work for unsupported versions as well.
Patching supported versions of Confluence 4.2 - 5.5.1
Download the patch file.
バージョンPatchTracking issueConfluence 4.2 - 5.5.1 atlassian-xwork-core-1.17.jar CONF-33515 - Getting issue details... STATUS MD5 (atlassian-xwork-core-1.17.jar)= 3e05c38578eec3583b9d5ef5e28fd058
- Confluence をシャットダウンします。
- Move file
<CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/atlassian-xwork-core-1.13.jar
to a location outside the<CONFLUENCE-INSTALL>
folder. - ダウンロードした atlassian-xwork-core-1.17.jar ファイルをフォルダー
<CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/
に追加します。 Start up Confluence again.
To confirm that you have applied the patch successfully, check the version of the xwork jar that has been loaded into Confluence as follows.
- Log in as administrator.
- インスタンスの /admin/classpath.action URL に移動して「/atlassian-xwork-core」を検索します。
- 1 つだけ atlassian-xwork-core-1.17.jar がヒットするはずです。これにより、パッチが正しく適用されたことが確認されます。
Confluence 4.1 の EOL バージョンのパッチ適用
4.1 では、atlassian-xwork-core-1.17.jar
を使用して、上記と同じ手順に従います。
Patching EOL versions of Confluence 3.5 - 4.0
次の表の説明で説明されているように、3 つのファイルをダウンロードします。
バージョンPatch Tracking issueConfluence 3.5 - 4.0 atlassian-xwork-10-1.17.jar
atlassian-xwork-core-1.17.jar
xwork-1.0.3.6.jarCONF-33738 - Getting issue details... STATUS MD5 (atlassian-xwork-10-1.17.jar)= 789acc22737e29577b9e843d5faf0317
MD5 (atlassian-xwork-core-1.17.jar)= 3e05c38578eec3583b9d5ef5e28fd058
MD5 (xwork-1.0.3.6.jar)= 59c8950b1129637bb63aea94b4139d7f- Confluence をシャットダウンします。
- 次のファイルを <CONFLUENCE-INSTALL> フォルダー外の場所に移動します。
<CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/atlassian-xwork-10.1.12.jar
<CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/atlassian-xwork-core.1.12.jar
<CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/xwork-1.0.3.2.jar
- Add the downloaded files to the
<CONFLUENCE-INSTALL>/confluence/WEB-INF/lib/ folder
. - Start up Confluence again
To confirm that you have applied the patch successfully, check the version of the xwork jar that has been loaded into Confluence as follows.
- Log in as administrator.
- インスタンスの /admin/classpath.action URL に移動して「xwork」を検索します。
- atlassian-xwork-10-1.17.jar、atlassian-xwork-core-1.17.jar、および xwork-1.0.3.6.jar の 3 つがヒットするはずです。これにより、パッチが正しく適用されたことが確認されます。