Confluence セキュリティ勧告 - 2009-10-06

In this advisory:

セッション固定の脆弱性

深刻度

Atlassian rates these vulnerabilities as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.

Risk Assessment

公共の環境における Confluence インスタンスに影響する可能性があるセキュリティの脆弱性を、特定して修正しました。この脆弱性は、セッション固定攻撃につながる可能性があります。この攻撃では、被害者が自分の Confluence ユーザー アカウントにログインしている間に、悪意のあるユーザー (攻撃者) が被害者の Confluence リソースにアクセスできます。

攻撃者は、自分のセッション ID を被害者のコンピューターに固定 (または設定) することで、これを行います。被害者がログインしている間は被害者のすべての特権が攻撃者のセッション ID に関連付けられて、被害者がアクセス可能なすべての Confluence データとリソースに対する攻撃者のアクセスが実質的に許可されます。

セッション固定攻撃の詳細については、次の資料をご参照ください。

• Chris Shiflett's Security Corner article
• The Web Application Security Consortium's overview

Risk Mitigation

We recommend either patching or upgrading your Confluence installation to fix these vulnerabilities. Please see the 'Fix' section below.

Alternatively, if you are not in a position to undertake this immediately and you judge it necessary, you can disable public access (e.g. anonymous access and public sign-on) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.

Vulnerability

Confluence 3.0.2 より前のすべてのバージョンは、このセキュリティ上の問題に対して脆弱性を持っています。

修正

These issues have been fixed in Confluence 3.0.2 (see the release notes), which you can download from the download centre.

If you do not wish to upgrade to Confluence 3.0.2 and you are currently running Confluence version 2.10.x or 3.0.x, you can patch your existing installation by downloading the appropriate patch file attached to JIRA issue CONF-15108 and installing the patch file using the instructions provided in this JIRA issue.

さまざまな Confluence マクロの XSS 脆弱性

深刻度

Atlassian rates these vulnerabilities as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.

Risk Assessment

We have identified and fixed a number of security vulnerabilities which may affect Confluence instances in a public environment. These flaws are cross-site scripting (XSS) vulnerabilities in Confluence's pagetree, userlister and content by label macros. These XSS vulnerabilities potentially allow an attacker to embed their own JavaScript into a Confluence page.

• 攻撃者は、この脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
• 攻撃者のテキストとスクリプトが、Confluence ページを表示している他のユーザーに表示される可能性があります。これにより、貴社の評判が損なわれる可能性があります。

You can read more about XSS attacks at cgisecurity, CERT and other places on the web.

Risk Mitigation

We recommend either patching or upgrading your Confluence installation to fix these vulnerabilities. Please see the 'Fix' section below.

Alternatively, if you are not in a position to undertake this immediately and you judge it necessary, you can disable public access (e.g. anonymous access and public sign-on) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.

Vulnerability

攻撃者は、以下の表に示す Confluence アクションに独自の JavaScript を注入できます。各アクションは、ユーザーが Confluence で特定の機能 (リンクやボタンのクリックなど) を実行したときに呼び出されます。アクションは、ブラウザーのアドレス バーに URL を入力するだけでも呼び出せます。不正な JavaScript は、ユーザーが URL を呼び出すときに実行されます。

For more details please refer to the related JIRA issue, also shown in the table below.

修正

These issues have been fixed in Confluence 3.0.2 (see the release notes), which you can download from the download centre.

If you do not wish to upgrade to Confluence 3.0.2, you can patch your existing installation by upgrading the plugins for these macros via the Confluence Plugin Repository to the version indicated in the JIRA issues listed in the vulnerability section (above).