Confluence セキュリティ勧告 - 2019-04-17

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Confluence - Path traversal vulnerability - CVE-2019-3398

要約CVE-2019-3398 - Path traversal in the downloadallattachments resource
勧告のリリース日

  10 AM PDT (Pacific Time, -7 hours)

製品
  • Confluence Server
  • Confluence Data Center

Affected Confluence Server Versions

  • 2.0.0 <= バージョン < 6.6.13
  • 6.7.0 <= バージョン < 6.12.4
  • 6.13.0 <= バージョン < 6.13.4
  • 6.14.0 <= バージョン < 6.14.3
  • 6.15.0 <= バージョン < 6.15.2
ここをクリックして展開...
  • すべての 2.x.x バージョン
  • すべての 3.x.x バージョン
  • すべての 4.x.x バージョン
  • すべての 5.x.x バージョン
  • すべての 6.0.x バージョン
  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • 6.6.13 よりも前のすべての 6.6.x バージョン
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x バージョン
  • すべての 6.11.x バージョン
  • 6.12.4 以前のすべての 6.12.x バージョン
  • 6.13.4 よりも前のすべての 6.13.x バージョン
  • 6.14.3 よりも前のすべての 6.14.x バージョン
  • 6.15.2 よりも前のすべての 6.15.x バージョン

Fixed Confluence Server Versions

  • 6.6.13
  • 6.12.4
  • 6.13.4
  • 6.14.3
  • 6.15.2
CVE IDCVE-2019-3398


脆弱性の概要

This advisory discloses a critical severity security vulnerability which was introduced in version 2.0.0 of Confluence Server and Confluence Data Center. Versions of Confluence Server and Data Center starting with 2.0.0 before 6.6.13 (the fixed version for 6.6.x), from 6.7.0 before 6.12.4 (the fixed version for 6.12.x), from 6.13.0 before 6.13.4 (the fixed version for 6.13.x), from 6.14.0 before 6.14.3 (the fixed version for 6.14.x), and from 6.15.0 before 6.15.2  are affected by this vulnerability. 

Atlassian Cloud instances are not affected by the issue described on this page.

Confluence Server または Data Center をバージョン 6.6.136.12.4、6.13.4、6.14.3、または 6.15.2 にアップグレードしたお客様は影響を受けません

Customers who have downloaded and installed these versions of Confluence Server or Data Center are affected:

  • すべての 2.x.x バージョン
  • すべての 3.x.x バージョン
  • すべての 4.x.x バージョン
  • すべての 5.x.x バージョン
  • すべての 6.0.x バージョン
  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • 6.6.13 よりも前のすべての 6.6.x バージョン
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x バージョン
  • すべての 6.11.x バージョン
  • 6.12.4 以前のすべての 6.12.x バージョン
  • 6.13.4 よりも前のすべての 6.13.x バージョン
  • 6.14.3 よりも前のすべての 6.14.x バージョン
  • 6.15.2 よりも前のすべての 6.15.x バージョン
この脆弱性を修正するには、Confluence サーバーまたは Data Center インストールすぐにアップグレードしてください。


Path traversal in the downloadallattachments resource - CVE-2019-3398

深刻度 

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

Confluence Server and Data Center had a path traversal vulnerability in the downloadallattachments resource. A remote attacker who has permission to add attachments to pages and / or blogs, or to create a new space or personal space, or who has 'Admin' permissions for a space, can exploit this path traversal vulnerability to write files to arbitrary locations which can lead to remote code execution on systems that run a vulnerable version of Confluence Server or Data Center.

Confluence Server のバージョン 2.0.0 から 6.6.13 の前まで (6.6.x の修正バージョン)、6.7.0 から 6.12.4 の前まで (6.12.x の修正バージョン)、6.13.0 から 6.13.4 の前まで (6.13.x の修正バージョン)、6.14.0 から 6.14.3 の前まで (6.14.x の修正バージョン)、6.15.0 から 6.15.2 の前までは、この脆弱性による影響を受けます。この課題は、 CONFSERVER-58102 - 課題情報を取得中... ステータスで追跡できます。

謝辞

Credit for finding this vulnerability goes to Jānis Krusts of IT Centr. 

修正

弊社ではこの問題に対応するために次の対応を行いました。

必要なアクション

Atlassian recommends that you upgrade to the latest version (6.15.2). For a full description of the latest version of Confluence Server and Data Center, see the Release Notes. You can download the latest version of Confluence from the Atlassian website and find our Confluence installation and upgrade guide here.

If you cannot upgrade Confluence Server to version 6.15.2 or higher.

(1) If you have a current feature version (a feature version released on 4th October 2018 or later), upgrade to the next bugfix version of your current feature version.

If you have feature version

then upgrade to bugfix version:

6.12.0、6.12.1、6.12.2、6.12.3

6.12.4

6.13.0、6.13.1、6.13.2、6.13.36.13.4

6.14.0, 6.14.1, 6.14.2

6.14.3

(2) If you have a current enterprise release version (an enterprise release version released on 4th April 2017 or later), upgrade to the latest version of your enterprise release version.

If you have enterprise release version

then upgrade to version:

6.6.0、6.6.1、6.6.2、6.6.3 6.6.4、6.6.5、6.6.6、6.6.7、6.6.8、6.6.9、6.6.10、6.6.11、6.6.12

6.6.13

6.13.0、6.13.1、6.13.2、6.13.3

6.13.4

(3) If you have an older version (a feature version released before 4th October 2018, or an enterprise release version released before 4th April 2017), either upgrade to the latest version of Confluence Server or Data Center, or to the latest version of an enterprise release version.

問題の軽減策

If you are unable to upgrade Confluence immediately, then as a temporary workaround, you should block the affected <base-url>/<context-path>/pages/downloadallattachments.action URL. Disabling this URL will prevent anyone downloading all attachments via the attachments page, or the attachments macro. Downloading individual attachments will still work. 

To block the URL directly in Tomcat:

  1. Confluence を停止します。
  2. <install-directory>/conf/server.xml を編集します。
  3. Add the following inside the <Host>  element:

    <Context path="/pages/downloadallattachments.action" docBase="" >
        <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>

    If you run Confluence with a context path, for example /wiki, you will need to include your context path in the path, as shown here:

    <Context path="/wiki/pages/downloadallattachments.action" docBase="" >
        <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>
  4. Save the file, and restart Confluence.

To verify that the workaround was applied correctly:

  1. Navigate to a page or blog that has 2 or more attachments. 
  2. 移動 
    その他のオプション
     > [添付ファイル] に移動し、[すべての添付ファイルをダウンロード] をクリックします。

You should see a 404 error and no files should be downloaded. 

サポート

このセキュリティ アドバイザリーのメールが届いておらず、今後受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

参考

セキュリティ バグの修正ポリシー

アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベルアトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。
サポート終了ポリシー サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 
最終更新日 2019 年 4 月 17 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.