Confluence セキュリティ勧告 - 2017-04-19
Confluence - 権限を持たないユーザーが、Confluence ブログとページのコンテンツを表示できる (CVE-2017-7415)
注: 2014 年 9 月現在、アトラシアンはバイナリ バグ パッチを発行しなくなりました。代わりに、バックポートしているメジャー バージョン用の新しいメンテナンス リリースを作成します。
| 要約 | CVE-2017-7415 - 認証されていないユーザーが Confluence ブログとページのコンテンツを表示できます |
|---|---|
| 勧告のリリース日 | 午前 10 時 PDT (太平洋標準時、ー7 時間) |
| 製品 | Confluence |
| 影響する Confluence バージョン |
|
| 修正された Confluence バージョン | Versions of Confluence equal to and above 6.0.7 contain a fix for this issue.
|
| CVE ID | CVE-2017-7415 |
脆弱性の概要
このアドバイザリは、Confluence のバージョン 6.0.0 で発生した重大度が高度であるセキュリティの脆弱性を開示します。6.0.0 以上 6.0.7 (6.0.x の修正バージョン) 未満の Confluence のバージョンが、この脆弱性の影響を受けます。
Atlassian Cloud インスタンスは、このページに記載されている問題を含まない Confluence のバージョンにすでにアップグレードされています。
Confluence をバージョン 6.0.7 または 6.1.0 以上にアップグレードしたお客様は、影響を受けません。
Confluence 6.0.0 以降 6.0.7 未満をダウンロードしてインストールしたお客様
この脆弱性を修正するには、Confluence インストールをすぐにアップグレードしてください。
権限を持たないユーザーが、Confluence ブログおよびページのコンテンツを表示できてしまう (CVE-2017-7415)
深刻度
アトラシアンはアトラシアンの重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを高度として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。
This is an independent assessment and you should evaluate its applicability to your own IT environment.
説明
Confluence 下書き差分 REST リソースは、ページ ID または下書き ID を提供することにより、Confluence のすべてのブログおよびページの現在のコンテンツを認証なしで利用可能にしました。脆弱なバージョンの Confluence Web インターフェイスにアクセスできる攻撃者は、最初にページ ID または下書き ID を列挙すれば、この脆弱性を悪用して、Confluence 内のすべてのブログおよびページのコンテンツを取得できます。
Confluence 6.0.0 ~ 6.0.7 より前のすべてのバージョンはこの脆弱性の影響を受けます。この課題は CONFSERVER-52222 - 課題情報を取得中... ステータスで追跡できます。
謝辞
この課題は Yuvanesh 様によって報告されました。
修正
弊社ではこの問題に対応するために次の対応を行いました。
- この課題の修正が含まれる Confluence バージョン 6.0.7 をリリースしました。
- この課題の修正が含まれる Confluence バージョン 6.1.0 をリリースしました。
必要なアクション
Confluence をバージョン 6.1.0 以上にアップグレードする (推奨)
Atlassian recommends that you upgrade to the latest version. For a full description of the latest version of Confluence, see the release notes You can download the latest version of Confluence from the download centre.
Upgrade Confluence to version 6.0.7
Confluence 6.0.x を実行しており、最新バージョンにアップグレードできない場合は、バージョン 6.0.7 にアップグレードします。
You can download this version of Confluence from our download archives.
問題の軽減策
If you are unable to upgrade right now, this issue can be mitigated in vulnerable versions of Confluence by disabling Collaborative editing as per the following instructions.
> [一般設定] > [共同編集] に進みます。- 共同編集モードを [オフ] に変更します。
このモードに切り替えると、共有の下書きは失われることにご注意ください。変更を実行する前に、ユーザーが保存する作業を発行したことをご確認ください。
- ページを更新して、共同編集モードが OFF に変更されたことを確認します。
サポート
このアドバイザリのメールを受信していないため今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールにご登録ください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
| セキュリティ バグの修正ポリシー | Atlassian の新しいポリシーにあるように、重大なセキュリティ バグの修正は、Jira と Confluence のメジャー ソフトウェア バージョンで最大 12 か月さかのぼってバックポートされます。新しいポリシーに挙げるバージョンについては、バイナリ パッチではなく新しいメンテナンス リリースを提供します。 Binary patches will no longer be released. |
| セキュリティの問題の重大度レベル | アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 |
| サポート終了ポリシー | サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |