Confluence セキュリティ勧告 - 2019-08-28

Confluence のセキュリティの概要とアドバイザリ

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Confluence Server and Confluence Data Center - Local File Disclosure - CVE-2019-3394

要約

CVE-2019-3394 - Local File Disclosure via Export

勧告のリリース日

 10 AM PDT (Pacific Time, -7 hours)

製品Confluence Server および Confluence Data Center

Affected Confluence Server Versions

  • 6.1.0 <= バージョン < 6.6.16
  • 6.7.0 <= version <  6.13.7
  • 6.14.0 <= バージョン < 6.15.8
ここをクリックして展開...
  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • All 6.6.x versions before 6.6.16 (the fixed version for 6.6.x)
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x VERSION (バージョン) 
  • すべての 6.11.x バージョン
  • すべての 6.12.x バージョン
  • All 6.13.x versions before 6.13.7 (the fixed version for 6.13.x)
  • すべての 6.14.x バージョン
  • All 6.15.x versions before 6.15.8 (the fixed version for 6.15.x)

Fixed Confluence Server Versions

  • 6.6.16
  • 6.13.7
  • 6.15.8
CVE ID(s)CVE-2019-3394


脆弱性の概要

This advisory discloses a critical severity security vulnerability which was introduced in version 6.1.0 of Confluence Server and Confluence Data Center. Versions of Confluence Server and Confluence Data Center starting with 6.1.0 before 6.6.16 (the fixed version for 6.6.x), from 6.7.0 before 6.13.7 (the fixed version for 6.13.x), and from 6.14.0 before 6.15.8 (the fixed version for 6.15.x) are affected by this vulnerability.

Atlassian Cloud  instances are not affected by the issue described on this page.

Customers who have upgraded Confluence Server or Confluence Data Center to version 6.6.16, 6.13.7 or 6.15.8  are  not affected .

Customers who have downloaded and installed the following versions of Confluence Server or Data Center are affected:

  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • All 6.6.x versions before 6.6.16 (the fixed version for 6.6.x)
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x バージョン 
  • すべての 6.11.x バージョン
  • すべての 6.12.x バージョン
  • All 6.13.x versions before 6.13.7 (the fixed version for 6.13.x)
  • すべての 6.14.x バージョン
  • All 6.15.x versions before 6.15.8 (the fixed version for 6.15.x)

Please upgrade your Confluence Server or Confluence Data Center installations immediately to fix this vulnerability.


Local File Disclosure - CVE-2019-3394

重大度

アトラシアンはアトラシアンの重大度レベルで公開されているスケールに従って、この脆弱性の重大度レベルを重大として評価しています。このスケールによって、重大度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。

説明

Confluence Server and Data Center had a local file disclosure vulnerability in the page export function. A remote attacker who has Add Page space permission would be able to read arbitrary files in the  <install-directory>/confluence/WEB-INF  directory, which may contain configuration files used for integrating with other services, potentially leaking credentials, such as LDAP credentials, or other sensitive information. The potential to leak LDAP credentials exists if LDAP credentials are specified in an atlassian-user.xml file, which is a deprecated method for configuring LDAP integration.

To determine the impact of this vulnerability, please check your <install-directory>/confluence/WEB-INF  directory and its subdirectories (especially /classes/) for any files that contain LDAP or Crowd credentials ( crowd.properties, atlassian-user.xml), or files that contain any other sensitive data that an administrator may have put in this directory. If nothing is found, this vulnerability is not immediately exploitable.

If credentials are found in these directories, you should cycle the passwords.

All versions of Confluence Server and Confluence Data Center from 6.1.0 before 6.6.16 (the fixed version for 6.6.x), from 6.7.0 before 6.13.7 (the fixed version for 6.13.x), and from 6.14.0 before 6.15.8 (the fixed version for 6.15.x) are affected by this vulnerability.

This issue can be tracked here:  CONFSERVER-58734 - Getting issue details... STATUS

謝辞

We would like to acknowledge "Magic Ice Cream Shop" for finding this vulnerability.

修正

弊社ではこの問題に対応するために次の対応を行いました。

必要なアクション

Atlassian recommends that you upgrade to the latest version (6.15.8). For a full description of the latest version of Confluence Server, see the 6.15 Release Notes. You can download the latest version of Confluence Server from the Atlassian website and find our Confluence installation and upgrade guide here.

If you cannot upgrade Confluence Server or Confluence Data Center to version 6.15.8 or higher:

(1) If you have a current Enterprise Release version (an Enterprise Release version released on 28th August 2017 or later), upgrade to the latest version of your Enterprise Release version.

If you have Enterprise Release version...

then upgrade to version:

6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11, 6.6.12, 6.6.13, 6.6.14, 6.6.15

6.6.16

6.13.0, 6.13.1, 6.13.2, 6.13.3, 6.13.4, 6.13.5, 6.13.6

6.13.7

(2) If you have an older version (a feature version released before 28th February 2019, or an Enterprise Release version released before 28th August 2017), either upgrade to the latest version of Confluence Server or Data Center, or to the latest version of an Enterprise Release version.

If you are running Confluence 6.10 because you are unable to upgrade to a later version due to compatibility issues with Companion App (which replaced Edit in Office), upgrade to either 6.15.8 or 6.13.7 (Enterprise Release) and follow the steps in our documentation to enable the legacy Edit in Office feature.

問題の軽減策

If you are unable to upgrade Confluence immediately or are in the process of migrating to Confluence Cloud, then as a temporary workaround you can use the atlassian.confluence.export.word.max.embedded.images  system property to set the maximum number of images to include in Word exports to zero. This will prevent images from being embedded in Word exports.

How you apply the system property depends on how you run Confluence. 

Run Confluence as a Windows service...
  1. In Windows, go to Services and locate your Confluence service. It will be called something like "Atlassian Confluence Confluence12345678"
  2. Double click the Confluence service, and make a note of the Service name.  It will be something like "Confluence12345678".  
  3. Open Command Prompt and cd to the <install-directory>\bin directory.

  4. Run the following command, where SERVICENAME is your service name.

    tomcat9w //ES//SERVICENAME

    Note that the Tomcat version may be different in your version of Confluence. You can check the name of your Tomcat file in the <install-directory>/bin (it will be either tomcat8w.exe, or tomcat9w.exe)

  5. The Services dialog will appear, this time with a Java tab. 
  6. In the Java Options field, add the following on a new line:

    -Datlassian.confluence.export.word.max.embedded.images=0
  7. Save your changes, and restart the service for the changes to take effect. 

See Configuring System Properties for more detailed information on how to pass this system property. 

Start Confluence on Windows manually...
  1. Confluence を停止します。
  2. <install-directory>/bin/setenv.bat ファイルを編集します。
  3. In the block that configures the CATALINA_OPTS variable, add the following line:

    set CATALINA_OPTS=-Datlassian.confluence.export.word.max.embedded.images=0 %CATALINA_OPTS%
  4. Save the file and restart Confluence.
Start Confluence on Linux manually...
  1. Confluence を停止します。
  2. <install-directory>/bin/setenv.sh ファイルを編集します。
  3. In the block the configures the CATALINA_OPTS variable, add the following line:

    CATALINA_OPTS="-Datlassian.confluence.export.word.max.embedded.images=0 ${CATALINA_OPTS}"
  4. Save the file and restart Confluence.

See Configuring System Properties for more detailed information on how to pass this system property when running Confluence in AWS using our Quick Start templates, or as a Windows service.

To verify that the workaround was applied correctly:

  1. Create a page with an image.
  2. Export the page to word.
  3. Verify that the image is not embedded in the exported file.

サポート

If you did not receive an email for this advisory and you wish to receive such emails in the future go to https://my.atlassian.com/email and subscribe to Alerts emails.

If you have questions or concerns regarding this advisory, please raise a support request at https://support.atlassian.com/ja/.

参考

セキュリティ バグの修正ポリシー

アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベルアトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。
サポート終了ポリシー サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 
最終更新日 2019 年 8 月 22 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.