Confluence セキュリティ勧告 - 2017-04-19

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Confluence - 権限を持たないユーザーが、Confluence ブログとページのコンテンツを表示できる (CVE-2017-7415)

注: 2014 年 9 月現在、アトラシアンはバイナリ バグ パッチを発行しなくなりました。代わりに、バックポートしているメジャー バージョン用の新しいメンテナンス リリースを作成します。

要約

CVE-2017-7415 - 認証されていないユーザーが Confluence ブログとページのコンテンツを表示できます

勧告のリリース日

午前 10 時 PDT (太平洋標準時、ー7 時間)

製品Confluence
影響する Confluence バージョン
  • 6.0.0<= バージョン < 6.0.7
修正された Confluence バージョン

Versions of Confluence equal to and above 6.0.7 contain a fix for this issue.

  • 6.0.7
  • 6.1.0
  • 6.1.1
  • 6.1.2
CVE ID(s)CVE-2017-7415

 

脆弱性の概要

このアドバイザリは、Confluence のバージョン 6.0.0 で発生した重大度が高度であるセキュリティの脆弱性を開示します。6.0.0 以上 6.0.7 (6.0.x の修正バージョン) 未満の Confluence のバージョンが、この脆弱性の影響を受けます。 

 

Atlassian Cloud instances have already been upgraded to a version of Confluence which does not have the issue described on this page.

Confluence をバージョン 6.0.7 または 6.1.0 以上にアップグレードしたお客様は、影響を受けません。

Confluence 6.0.0 以降 6.0.7 未満をダウンロードしてインストールしたお客様

この脆弱性を修正するには、Confluence インストールをすぐにアップグレードしてください。

 

権限を持たないユーザーが、Confluence ブログおよびページのコンテンツを表示できてしまう (CVE-2017-7415)

重大度

アトラシアンはアトラシアンの重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを高度として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。

This is an independent assessment and you should evaluate its applicability to your own IT environment.

 

説明

Confluence 下書き差分 REST リソースは、ページ ID または下書き ID を提供することにより、Confluence のすべてのブログおよびページの現在のコンテンツを認証なしで利用可能にしました。脆弱なバージョンの Confluence Web インターフェイスにアクセスできる攻撃者は、最初にページ ID または下書き ID を列挙すれば、この脆弱性を悪用して、Confluence 内のすべてのブログおよびページのコンテンツを取得できます。

All versions of Confluence starting with 6.0.0 before version 6.0.7 are affected by this vulnerability. This issue can be tracked here:  CONFSERVER-52222 - Getting issue details... STATUS

謝辞

この課題は Yuvanesh 様によって報告されました。

 

修正

弊社ではこの問題に対応するために次の対応を行いました。

  1. この課題の修正が含まれる Confluence バージョン 6.0.7 をリリースしました。
  2. この課題の修正が含まれる Confluence バージョン 6.1.0 をリリースしました。

必要なアクション

Confluence をバージョン 6.1.0 以上にアップグレードする (推奨)

Atlassian recommends that you upgrade to the latest version. For a full description of the latest version of Confluence, see the release notes You can download the latest version of Confluence from the download centre.


Upgrade Confluence to version 6.0.7

Confluence 6.0.x を実行しており、最新バージョンにアップグレードできない場合は、バージョン 6.0.7 にアップグレードします

You can download this version of Confluence from our download archives.

 

問題の軽減策

If you are unable to upgrade right now, this issue can be mitigated in vulnerable versions of Confluence by disabling Collaborative editing as per the following instructions.

  1. > [一般設定] > [共同編集] に進みます。
  2. 共同編集モードを [オフ] に変更します。

    このモードに切り替えると、共有の下書きは失われることにご注意ください。変更を実行する前に、ユーザーが保存する作業を発行したことをご確認ください。

  3. ページを更新して、共同編集モードが OFF に変更されたことを確認します。

 

サポート

このセキュリティ アドバイザリーのメールが届いておらず、今後受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。

If you have questions or concerns regarding this advisory, please raise a support request at https://support.atlassian.com/ja/.

参考

セキュリティ バグの修正ポリシー

Atlassian の新しいポリシーにあるように、重大なセキュリティ バグの修正は、Jira と Confluence のメジャー ソフトウェア バージョンで最大 12 か月さかのぼってバックポートされます。新しいポリシーに挙げるバージョンについては、バイナリ パッチではなく新しいメンテナンス リリースを提供します。

Binary patches will no longer be released. 

セキュリティの問題の重大度レベルアトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。
サポート終了ポリシー サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 
最終更新日 2017 年 8 月 4 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.