Documentation for Confluence 2.5.4 - 2.5.8.
Documentation for [Confluence Cloud] and the latest Confluence Server is available too.

攻撃者が Confluence のセキュリティを迂回してサイトのコンテンツを変更できる欠陥が、Confluence で発見されました。アトラシアンでは、すべての Confluence のお客様が下記の修正をすぐに適用するか、Confluence 1.3.3 にアップグレードすることを強くお勧めします。

Vulnerability

カスタム URL を作成することで、Confluence を閲覧できるすべてのユーザーが、セキュリティ設定を迂回してサイト上のコンテンツを変更できます。この脆弱性によって、通常表示できないコンテンツをユーザーが表示したり、他の方法で権限をエスカレートしたりできます。

この欠陥は、1.4-DR 開発リリースを含む、 Confluence 1.3.3 以前のすべてのバージョンに影響します。

修正

この脆弱性は Confluence 1.3.3 以降で修正されています。1.3.3 への移行を希望しないお客様は、以下の手順を使用してこのバグを修正できます。

  1. confluence/WEB-INF/classes/xwork.xml ファイルを編集します。
  2. ファイルの先頭付近で以下のセクションを探します (行 34 の周辺)。 
    <interceptor-stack name="defaultStack">
    <interceptor-ref name="profiling">
        <param name="location">Before defaultStack</param>
    </interceptor-ref>
    <interceptor-ref name="transaction"/>
    <interceptor-ref name="authentication"/>
    <interceptor-ref name="requestParameterHack"/>
    <interceptor-ref name="eventnotifier"/>
    <interceptor-ref name="autowire"/>
    <interceptor-ref name="params"/>
    <interceptor-ref name="servlet"/>
    <interceptor-ref name="pageAware"/>
    <interceptor-ref name="permissions"/>
    <interceptor-ref name="profiling">
        <param name="location">After defaultStack</param>
    </interceptor-ref>
</interceptor-stack>
  3. 「autowire」と「params」の各エントリを探します。 
                  <interceptor-ref name="eventnotifier"/>
-->           <interceptor-ref name="autowire"/>      <--
-->           <interceptor-ref name="params"/>        <--
              <interceptor-ref name="servlet"/>
  4. 2 つの行を入れ替えます。スタック全体が次のようになります。 
    <interceptor-stack name="defaultStack">
    <interceptor-ref name="profiling">
        <param name="location">Before defaultStack</param>
    </interceptor-ref>
    <interceptor-ref name="transaction"/>
    <interceptor-ref name="authentication"/>
    <interceptor-ref name="requestParameterHack"/>
    <interceptor-ref name="eventnotifier"/>
    <interceptor-ref name="params"/>
    <interceptor-ref name="autowire"/>
    <interceptor-ref name="servlet"/>
    <interceptor-ref name="pageAware"/>
    <interceptor-ref name="permissions"/>
    <interceptor-ref name="profiling">
        <param name="location">After defaultStack</param>
    </interceptor-ref>
</interceptor-stack>
  5. Confluence を再起動します。





Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.