Confluence セキュリティ勧告 - 2019-08-28
Confluence Server と Confluence Data Center - ローカル ファイル開示 - CVE-2019-3394
| 要約 | CVE-2019-3394 - Local File Disclosure via Export |
|---|---|
| 勧告のリリース日 | 午前 10 時 PDT (太平洋標準時、ー7 時間) |
| 製品 | Confluence Server および Confluence Data Center |
Affected Confluence Server Versions |
|
Fixed Confluence Server Versions |
|
| CVE ID | CVE-2019-3394 |
脆弱性の概要
このアドバイザリは、Confluence Server と Confluence Data Center のバージョン 6.1.0 で発生した重大なセキュリティの脆弱性を開示します。Confluence Server と Confluence Data Center の 6.1.0 以上 6.6.16 (6.6.x の修正バージョン) 未満、6.7.0 以上 6.13.7 (6.13.x の修正バージョン) 未満、6.14.0 以上 6.15.8 (6.15.x の修正バージョン) 未満が、この脆弱性の影響を受けます。
Atlassian Cloud インスタンスは、このページに記載されている課題の影響を受けません。
Confluence Server または Confluence Data Center をバージョン 6.6.16、6.13.7 または 6.15.8 にアップグレードしたお客様は、影響を受けません。
次の Confluence Server または Data Center のバージョンをダウンロードしてインストールしたお客様は、影響を受けます。
- すべての 6.1.x バージョン
- すべての 6.2.x バージョン
- すべての 6.3.x バージョン
- すべての 6.4.x バージョン
- すべての 6.5.x バージョン
- 6.6.16 (6.6.x の修正バージョン) より前のすべての 6.6.x バージョン
- すべての 6.7.x バージョン
- すべての 6.8.x バージョン
- すべての 6.9.x バージョン
- すべての 6.10.x バージョン
- すべての 6.11.x バージョン
- すべての 6.12.x バージョン
- 6.13.7 (6.13.x の修正バージョン) より前のすべての 6.13.x バージョン
- すべての 6.14.x バージョン
- 6.15.8 (6.15.x の修正バージョン) より前のすべての 6.15.x バージョン
Please upgrade your Confluence Server or Confluence Data Center installations immediately to fix this vulnerability.
ローカル ファイル開示 - CVE-2019-3394
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
説明
Confluence Server とData Center には、ページのエクスポート機能でローカル ファイルが開示される脆弱性がありました。ページを追加スペース権限のあるリモート攻撃者は、 <install-directory>/confluence/WEB-INF ディレクトリで任意のファイルを読み取れます。このディレクトリには他のサービスと統合する際に使用された構成ファイルが含まれている場合があるため、LDAP 資格情報やその他の機密情報の漏えいにつながる可能性がありました。LDAP 資格情報漏えいの可能性は LDAP 資格情報が atlassian-user.xml ファイルで指定されている場合に発生しますが、これは LDAP 統合の構成では非推奨の方法です。
この脆弱性の影響を判断するには、<install-directory>/confluence/WEB-INF ディレクトリとそのサブディレクトリ (特に /classes/) で LDAP 認証情報または Crowd 認証情報 (crowd.properties、atlassian-user.xml) を含むファイルがないか、または管理者がこのディレクトリに配置したその他の機密データを含むファイルがないかをご確認ください。何も見つからなければ、この脆弱性がただちに悪用されることはありません。
これらのディレクトリに資格情報が見つかった場合は、パスワードを定期的に変更する必要があります。
All versions of Confluence Server and Confluence Data Center from 6.1.0 before 6.6.16 (the fixed version for 6.6.x), from 6.7.0 before 6.13.7 (the fixed version for 6.13.x), and from 6.14.0 before 6.15.8 (the fixed version for 6.15.x) are affected by this vulnerability.
この課題はCONFSERVER-58734 - 課題情報を取得中... ステータスで追跡できます。
謝辞
この脆弱性は「Magic Ice Cream Shop」によって検出されたことをお知らせします。
修正
弊社ではこの問題に対応するために次の対応を行いました。
- Released Confluence Server and Data Center version 6.15.8 that contains a fix for this issue, and can be be downloaded from https://www.atlassian.com/software/confluence/download/.
Released Confluence Server and Data Center versions 6.6.16 and 6.13.7 that contains a fix for this issue, and can be be downloaded from https://www.atlassian.com/software/confluence/download-archives.
必要なアクション
Atlassian recommends that you upgrade to the latest version (6.15.8). For a full description of the latest version of Confluence Server, see the 6.15 Release Notes. You can download the latest version of Confluence Server from the Atlassian website and find our Confluence installation and upgrade guide here.
Confluence Server または Confluence Data Center をバージョン 6.15.8 以上にアップグレードできない場合は、次の手順に従います。
(1) 現行の Enterprise リリース バージョン (2017 年 8 月 28 日以降にリリースされた Enterprise リリース バージョン) をご利用の場合は、Enterprise リリースの最新バージョンにアップグレードしてください。
ご利用のエンタープライズ リリース バージョン | then upgrade to version: |
|---|---|
6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11, 6.6.12, 6.6.13, 6.6.14, 6.6.15 | 6.6.16 |
6.13.0、6.13.1、6.13.2、6.13.3、6.13.4、6.13.5、6.13.6 | 6.13.7 |
(2) If you have an older version (a feature version released before 28th February 2019, or an Enterprise Release version released before 28th August 2017), either upgrade to the latest version of Confluence Server or Data Center, or to the latest version of an Enterprise Release version.
If you are running Confluence 6.10 because you are unable to upgrade to a later version due to compatibility issues with Companion App (which replaced Edit in Office), upgrade to either 6.15.8 or 6.13.7 (Enterprise Release) and follow the steps in our documentation to enable the legacy Edit in Office feature.
問題の軽減策
Confluence をすぐにアップグレードできない、または Confluence Cloud に移行中の場合は、一時的な回避策として、atlassian.confluence.export.word.max.embedded.images システム プロパティを使用して、Word へのエクスポートに含まれる画像の最大数をゼロに設定できます。これによって、Word へのエクスポートに画像が埋め込まれなくなります。
このシステム プロパティの適用方法は、Confluence の実行方法によって異なります。
クイック スタート テンプレートを使用して、または Windows サービスとして AWS で Confluence を実行する際にシステム プロパティを渡す方法に関する詳細については「システム プロパティの設定」をご参照ください。
To verify that the workaround was applied correctly:
- Create a page with an image.
- Export the page to word.
- 画像がエクスポートされたファイルに埋め込まれていないことを確認します。
サポート
このセキュリティ アドバイザリーのメールが届いておらず、今後受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
| セキュリティ バグの修正ポリシー | アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 |
| セキュリティの問題の重大度レベル | アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 |
| サポート終了ポリシー | サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |