Confluence セキュリティ勧告 - 2019-08-28

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Confluence Server と Confluence Data Center - ローカル ファイル開示 - CVE-2019-3394

要約

CVE-2019-3394 - Local File Disclosure via Export

勧告のリリース日

午前 10 時 PDT (太平洋標準時、ー7 時間)

製品Confluence Server および Confluence Data Center

Affected Confluence Server Versions

  • 6.1.0 <= バージョン < 6.6.16
  • 6.7.0<= バージョン < 6.13.7
  • 6.14.0 <= バージョン < 6.15.8
ここをクリックして展開...
  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • 6.6.16 (6.6.x の修正バージョン) よりのすべての 6.6.x バージョン
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x VERSION (バージョン) 
  • すべての 6.11.x バージョン
  • すべての 6.12.x バージョン
  • 6.13.7 (6.13.x の修正バージョン) よりのすべての 6.13.x バージョン
  • すべての 6.14.x バージョン
  • 6.15.8 (6.15.x の修正バージョン) よりのすべての 6.15.x バージョン

Fixed Confluence Server Versions

  • 6.6.16
  • 6.13.7
  • 6.15.8
CVE IDCVE-2019-3394


脆弱性の概要

このアドバイザリは、Confluence Server と Confluence Data Center のバージョン 6.1.0 で発生した重大なセキュリティの脆弱性を開示します。Confluence Server と Confluence Data Center の 6.1.0 以上 6.6.16 (6.6.x の修正バージョン) 未満、6.7.0 以上 6.13.7 (6.13.x の修正バージョン) 未満、6.14.0 以上 6.15.8 (6.15.x の修正バージョン) 未満が、この脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、このページに記載されている課題の影響を受けません。

Confluence Server または Confluence Data Center をバージョン 6.6.16、6.13.7 または 6.15.8 にアップグレードしたお客様影響を受けません

次の Confluence Server または Data Center のバージョンをダウンロードしてインストールしたお客様は、影響を受けます。

  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • 6.6.16 (6.6.x の修正バージョン) よりのすべての 6.6.x バージョン
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x バージョン 
  • すべての 6.11.x バージョン
  • すべての 6.12.x バージョン
  • 6.13.7 (6.13.x の修正バージョン) よりのすべての 6.13.x バージョン
  • すべての 6.14.x バージョン
  • 6.15.8 (6.15.x の修正バージョン) よりのすべての 6.15.x バージョン

Please upgrade your Confluence Server or Confluence Data Center installations immediately to fix this vulnerability.


ローカル ファイル開示 - CVE-2019-3394

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

Confluence Server とData Center には、ページのエクスポート機能でローカル ファイルが開示される脆弱性がありました。ページを追加スペース権限のあるリモート攻撃者は、 <install-directory>/confluence/WEB-INF ディレクトリで任意のファイルを読み取れます。このディレクトリには他のサービスと統合する際に使用された構成ファイルが含まれている場合があるため、LDAP 資格情報やその他の機密情報の漏えいにつながる可能性がありました。LDAP 資格情報漏えいの可能性は LDAP 資格情報が atlassian-user.xml ファイルで指定されている場合に発生しますが、これは LDAP 統合の構成では非推奨の方法です。

この脆弱性の影響を判断するには、<install-directory>/confluence/WEB-INF ディレクトリとそのサブディレクトリ (特に /classes/) で LDAP 認証情報または Crowd 認証情報 (crowd.propertiesatlassian-user.xml) を含むファイルがないか、または管理者がこのディレクトリに配置したその他の機密データを含むファイルがないかをご確認ください。何も見つからなければ、この脆弱性がただちに悪用されることはありません。

これらのディレクトリに資格情報が見つかった場合は、パスワードを定期的に変更する必要があります。

All versions of Confluence Server and Confluence Data Center from 6.1.0 before 6.6.16 (the fixed version for 6.6.x), from 6.7.0 before 6.13.7 (the fixed version for 6.13.x), and from 6.14.0 before 6.15.8 (the fixed version for 6.15.x) are affected by this vulnerability.

この課題は CONFSERVER-58734 - 課題情報を取得中... ステータスで追跡できます。

謝辞

この脆弱性は「Magic Ice Cream Shop」によって検出されたことをお知らせします。

修正

弊社ではこの問題に対応するために次の対応を行いました。

必要なアクション

Atlassian recommends that you upgrade to the latest version (6.15.8). For a full description of the latest version of Confluence Server, see the 6.15 Release Notes. You can download the latest version of Confluence Server from the Atlassian website and find our Confluence installation and upgrade guide here.

Confluence Server または Confluence Data Center をバージョン 6.15.8 以上にアップグレードできない場合は、次の手順に従います。

(1) 現行の Enterprise リリース バージョン (2017 年 8 月 28 日以降にリリースされた Enterprise リリース バージョン) をご利用の場合は、Enterprise リリースの最新バージョンにアップグレードしてください。

ご利用のエンタープライズ リリース バージョン

then upgrade to version:

6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11, 6.6.12, 6.6.13, 6.6.14, 6.6.15

6.6.16

6.13.0、6.13.1、6.13.2、6.13.3、6.13.4、6.13.5、6.13.6

6.13.7

(2) If you have an older version (a feature version released before 28th February 2019, or an Enterprise Release version released before 28th August 2017), either upgrade to the latest version of Confluence Server or Data Center, or to the latest version of an Enterprise Release version.

If you are running Confluence 6.10 because you are unable to upgrade to a later version due to compatibility issues with Companion App (which replaced Edit in Office), upgrade to either 6.15.8 or 6.13.7 (Enterprise Release) and follow the steps in our documentation to enable the legacy Edit in Office feature.

問題の軽減策

Confluence をすぐにアップグレードできない、または Confluence Cloud に移行中の場合は、一時的な回避策として、atlassian.confluence.export.word.max.embedded.images システム プロパティを使用して、Word へのエクスポートに含まれる画像の最大数をゼロに設定できます。これによって、Word へのエクスポートに画像が埋め込まれなくなります。

このシステム プロパティの適用方法は、Confluence の実行方法によって異なります。 

Confluence を Windows サービスとして実行します...
  1. Windows で、[サービス] に移動して、使用している Confluence サービスを探します。「Atlassian Confluence Confluence12345678」のような名前になります。
  2. Double click the Confluence service, and make a note of the Service name.  It will be something like "Confluence12345678".  
  3. コマンド プロンプトを開き、ディレクトリを <install-directory>\bin ディレクトリに変更します。

  4. Run the following command, where SERVICENAME is your service name.

    tomcat9w //ES//SERVICENAME

    ご利用の Confluence のバージョンでは、Tomcat のバージョンが異なる場合があることにご注意ください。Tomcat ファイルの名前は <install-directory>/bin で確認できます (tomcat8w.exe または tomcat9w.exe のいずれかです)。

  5. 今回は [サービス] ダイアログに Java タブが表示されます。 
  6. [Java オプション] フィールドで、次を新しい行に追加します。

    -Datlassian.confluence.export.word.max.embedded.images=0
  7. Save your changes, and restart the service for the changes to take effect. 

このシステム プロパティを渡す方法に関する詳細については「システム プロパティの設定」をご参照ください。 

Windows で Confluence を手動で起動します...
  1. Confluence を停止します。
  2. <install-directory>/bin/setenv.bat ファイルを編集します。
  3. CATALINA_OPTS 変数を設定するブロックで、次の行を追加します。

    set CATALINA_OPTS=-Datlassian.confluence.export.word.max.embedded.images=0 %CATALINA_OPTS%
  4. ファイルを保存して Confluence を再起動します。
Linux で Confluence を手動で起動します...
  1. Confluence を停止します。
  2. <install-directory>/bin/setenv.sh ファイルを編集します。
  3. CATALINA_OPTS 変数を設定するブロックで、次の行を追加します。

    CATALINA_OPTS="-Datlassian.confluence.export.word.max.embedded.images=0 ${CATALINA_OPTS}"
  4. ファイルを保存して Confluence を再起動します。

クイック スタート テンプレートを使用して、または Windows サービスとして AWS で Confluence を実行する際にシステム プロパティを渡す方法に関する詳細については「システム プロパティの設定」をご参照ください。

To verify that the workaround was applied correctly:

  1. Create a page with an image.
  2. Export the page to word.
  3. 画像がエクスポートされたファイルに埋め込まれていないことを確認します。

サポート

このセキュリティ アドバイザリーのメールが届いておらず、今後受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

参考

セキュリティ バグの修正ポリシー

アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベルアトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。
サポート終了ポリシー サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 
最終更新日 2019 年 8 月 22 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.