Confluence 4.0 のサポートは終了しています。
ドキュメントの最新バージョンを確認してください。
This advisory announces a number of security vulnerabilities in earlier versions of Confluence that we have found and fixed in Confluence 3.2.1. In addition to releasing Confluence 3.2.1, we also provide patches for the most important vulnerabilities mentioned. You will be able to apply these patches to older versions of Confluence. There will, however, be a number of security improvements in Confluence 3.2.1 that cannot be patched or backported. We recommend upgrading to Confluence 3.2.1 rather than applying the patches.
In this advisory:
XSS Vulnerabilities
深刻度
Atlassian rates these vulnerabilities as high, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank a vulnerability as critical, high, moderate or low.
Risk Assessment
We have identified and fixed a number of security vulnerabilities which may affect Confluence instances in a public environment. These flaws are cross-site scripting (XSS) vulnerabilities exposed in the Confluence functions described in the table below.
- 攻撃者は、この脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
- 攻撃者のテキストとスクリプトが、Confluence ページを表示している他のユーザーに表示される可能性があります。これにより、貴社の評判が損なわれる可能性があります。
You can read more about XSS attacks at cgisecurity, CERT and other places on the web.
Vulnerability
以下の表で説明する Confluence 機能の脆弱性を特定し、修正しました。
Confluence Feature |
影響する Confluence バージョン |
可用性を修正 |
詳細情報 |
深刻度 |
|---|---|---|---|---|
インデックス ブラウザー JSP (JavaServer Pages) |
2.7.0 ~ 3.2.0 |
3.2.1 and patch |
高 |
|
特定のスペースの添付ファイルが格納されているファイル システム上の場所を管理者に提供する JSP |
2.8.3 ~ 3.2.0 |
3.2.1 and patch |
高 |
|
null メール アドレスの dummyvalue@nowhere.org へのリセットを許可して管理する JSP |
2.8.3 ~ 3.2.0 |
3.2.1 and patch |
高 |
|
配色設定 |
3.1.2 ~ 3.2.0 |
3.2.1 and patch |
高 |
|
エラー メッセージ |
2.7.0 ~ 3.2.0 |
3.2.1 and patch |
CONF-19390 and CONF-19402 |
高 |
Confluence の検索 |
2.7.4 ~ 3.2.0 |
3.2.1 and patch |
高 |
|
添付ファイルのアップロード |
3.0.2 ~ 3.2.0 |
3.2.1 and patch |
高 |
|
コンテンツ レンダリング |
3.0.0 ~ 3.2.0 |
3.2.1 and patch |
高 |
|
高度なマクロ プラグイン |
3.1.0 ~ 3.2.0 |
3.2.1 and plugin upgrade |
高 |
|
Social Bookmarking プラグイン |
3.0.0 ~ 3.2.0 |
3.2.1 and plugin upgrade |
高 |
Risk Mitigation
We recommend either patching or upgrading your Confluence installation to fix these vulnerabilities. Please see the 'fix' section below.
Alternatively, if you are not in a position to upgrade or patch immediately and you judge it necessary, you can disable public access (such as anonymous access and public sign-on) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.
修正
Confluence 3.2.1 fixes all of these issues. See the release notes. You can download Confluence 3.2.1 from the download centre.
If you cannot upgrade to Confluence 3.2.1, you can patch your existing installation using the patches and plugin upgrades listed below. We strongly recommend upgrading to 3.2.1 however, since it adds even more security features than the patches.
Confluence で変更された動作
We have removed the indexbrowser.jsp and the viewdocument.jsp pages that used to provide access to the Confluence index browser. Instead, if you need to see more details of the indexed pages in your Confluence site, you can download and run Luke. Luke is a development and diagnostic tool that accesses existing Lucene indexes and allows you to display and modify their content in several ways. See our document on content index administration.
Our thanks to Brett Porter of The Apache Software Foundation and to David Belcher of Research in Motion, who reported some of the vulnerabilities mentioned above. We fully support the reporting of vulnerabilities and we appreciate it when people work with us to identify and solve the problem.
データベース確認ユーティリティ (Confluence に含まれません) の XSS 脆弱性
深刻度
Atlassian rates this vulnerability as high, according to the scale published in Confluence Security.
Risk Assessment
We have identified and fixed a cross-site scripting (XSS) vulnerability in the Atlassian database check utility that some customers may have installed. The utility is a JSP file, supplied as an attachment to a documentation page.
このユーティリティは Confluence にバンドルされていないことに注意してください。この脆弱性は、JSP をダウンロードしてインストールした場合にのみ適用されます。
Vulnerability
An attacker can inject their own JavaScript when invoking the database check utility. The rogue JavaScript will be executed when a user invokes the URL. For more details, please refer to CONF-19406.
Risk Mitigation
If you have previously downloaded and installed the testdatabase.jsp utility from the documentation page, you should now remove the testdatabase.jsp file from your <confluence-install>\confluence directory.
ユーティリティを再利用する必要がある場合は、同じドキュメント ページから更新バージョンをダウンロードできます。
修正
If you have previously downloaded and installed the testdatabase.jsp utility from the documentation page, you should now remove the testdatabase.jsp file from your <confluence-install>\confluence directory.
ユーティリティを再利用する必要がある場合は、同じドキュメント ページから更新バージョンをダウンロードできます。
この修正は Confluence 3.2.1 の一部ではありません。
JSP ファイルは Confluence インストールに含まれていないため、この脆弱性に対するパッチはなく、Confluence 3.2.1 での修正もありません。インストールをご確認の上、JSP が存在する場合は削除または更新してください。
情報の不必要な公開とアクセス
深刻度
Atlassian rates these vulnerabilities as high and moderate, according to the scale published in Confluence Security.
Risk Assessment
Confluence が不要な量の情報を公開して、攻撃者がその情報にアクセスした場合にその情報が攻撃者にとって有用になる可能性がある多くの領域を特定しました。
Vulnerability
We have identified a number of areas where Confluence exposes an unnecessary amount of information, including sensitive information such as usernames and passwords. If an attacker gains access to such information, it may allow such an attacker to gain access to administrative areas and functions of Confluence that they are not authorised to use. Details of each vulnerability are in the table below.
詳細については、以下の表にも示されている関連する jira 課題をご参照ください。
Confluence アクション |
影響する Confluence バージョン |
可用性を修正 |
詳細情報 |
深刻度 |
|---|---|---|---|---|
サポート リクエスト フォーム |
3.1.0 ~ 3.2.0 |
3.2.1 |
The Confluence support request form automatically generates a zip file containing system information and log files, and submits the file to a given email address along with the support request. The zip file includes configuration files containing usernames, passwords and license details. See CONF-19391 |
高 |
サポート リクエスト フォーム |
2.7.0 ~ 3.2.0 |
3.2.1 |
The Confluence support request form offers a 'CC' email address, allowing the support request and all attached information to be sent to any email address. In addition, it is also possible to set the default email address to any email address, via the Confluence Administration Console. See CONF-19392 |
高 |
XML サイト バックアップ |
2.7.0 ~ 3.2.0 |
3.2.1 |
It is possible to download an XML backup of the Confluence site from the Confluence Administration Console. See CONF-19393 |
高 |
日次サイト バックアップ |
2.7.0 ~ 3.2.0 |
3.2.1 |
The path to the daily site backup is configurable via the Confluence Administration Console. It is possible to set the daily backup path and (partial) name through the web UI. This allows an attacker to put the backup in a location that is served by the application server. See CONF-19397 |
中程度 |
SOAP API と XML-RPC API |
2.7.0 ~ 3.2.0 |
3.2.1 |
The SOAP and XML-RPC APIs give too much information when returning an error about an incorrect login. See CONF-19398 |
高 |
Confluence 管理者に関する情報 |
2.7.0 ~ 3.2.0 |
3.2.1 |
The list of Confluence administrators is accessible via a URL and shows the username, full name and email address of all administrators. See CONF-19395 |
中程度 |
Risk Mitigation
We recommend that you upgrade your Confluence installation to fix these vulnerabilities. Please see the 'fix' section below.
または、すぐにアップグレードまたはパッチを適用する立場にない場合は、次の対策を適用することを検討してください。
- Control the access to your administrator accounts, as described in our document on best practices for configuring Confluence security.
- Disable access to the SOAP and XML-RPC APIs, if these remote APIs are not required. (Remote API access is disabled by default.) See the page about enabling remote APIs.
- 関連するベロシティ テンプレート ファイルを次のように編集して、URL 経由でアクセスできる Confluence 管理者のリストを手動で削除します。
administrators.vmファイルを編集します。このファイルは、スタンドアロン インストールの場合は {confluence-install}/confluenceにあり、WAR インストールの場合は Web アプリのルートにあります。- このコンテンツを、誰かがこの URL にアクセスするたびに表示されるメッセージに置き換えます。以下に例を示します。
<html> <head> <title>$action.getText("title.administrators")</title> </head> <body> The list of Confluence administrators is no longer available. If you would like to contact an administrator, please email admins at example dot com. </body> </html> - ファイルを保存します (Confluence を再起動する必要はありません)。
修正
Confluence 3.2.1 fixes these issues. See the release notes. You can download Confluence 3.2.1 from the download centre.
Confluence で変更された動作
これらの問題を解決するために、Confluence の動作を次のように変更しました。
- Confluence サポート リクエスト フォームで生成される zip ファイルから、ライセンス、ユーザー名、パスワードの情報をすべて削除しました。
- It is no longer possible to specify a 'CC' email address on the Confluence support request form.
- By default, it is no longer possible to specify a site support email address in the 'General Configuration' section of the Confluence Administration Console. Administrators can restore this functionality by updating the
confluence.cfg.xmlfile found in the Confluence Home directory. Confluence now recognises a new property in this configuration file, calledadmin.ui.allow.site.support.email. If the value of the property is 'true', it will be possible to specify a site support email address via the Confluence Administration Console. If the value of this property is 'false' or the property is not present in the file, the email address is not configurable. By default in Confluence 3.2.1 and later, the value is 'false'. - デフォルトでは、日次サイト バックアップへのパスは、Confluence 管理コンソールを介して設定できなくなりました。Confluence は、
confluence.cfg.xmlファイル内のadmin.ui.allow.daily.backup.custom.locationと呼ばれる新しいプロパティを認識するようになりました。このプロパティの値が 'true' の場合、管理者は日次バックアップ パスを変更できます。このプロパティの値が 'false' の場合、またはプロパティがファイルに存在しない場合、バックアップ パスは設定できません。デフォルトでは Confluence 3.2.1 以降における値は false です。 - 初期設定では、Confluence サイトの XML バックアップを Confluence 管理コンソールからダウンロードできなくなりました。代わりに、XML サイトのバックアップ ファイルを取得するには、Confluence Server マシンにアクセスする必要があります。Confluence は、
confluence.cfg.xmlファイル内のadmin.ui.allow.manual.backup.downloadと呼ばれる新しいプロパティを認識するようになりました。このプロパティの値が true の場合、管理コンソールには XML サイトのバックアップ ファイルをダウンロードするオプションが表示されます。このプロパティの値が false、またはプロパティがファイル内に存在しない場合は、管理コンソールから XML をダウンロードできません。初期設定では、Confluence 3.2.1 以降における値は false です。 - 無効なログイン試行時に、SOAP API と XML-RPC API が「ユーザーが存在しません」、または「パスワードが無効です」という特定の情報を提供しなくなりました。
- The
administrators.actionURL no longer opens a page showing the list of Confluence administrators. Instead, the URL will now present a form which you can use to email all the administrators of the site. This is preferable since it does not give the user any information about who these administrators are. See our documentation on configuring the administrator contact page.
Confluence セキュリティ モデルの一般的な強化
深刻度
Atlassian rates these vulnerabilities as high and moderate, according to the scale published in Confluence Security.
Risk Assessment
Confluence の次の領域のセキュリティが改善されました。
- 繰り返しのログイン試行の最大回数を課すことによるブルート フォース攻撃の防止。
- デコレーター レイアウトの処理。
Vulnerability
We have identified and fixed a problem where Confluence allows an unlimited number of repeated login attempts, potentially opening Confluence to a brute force attack. We have also improved the security around the handling of decorator layouts. Details of each improvement are in the table below.
詳細については、以下の表にも示されている関連する jira 課題をご参照ください。
Confluence アクション |
影響する Confluence バージョン |
可用性を修正 |
詳細情報 |
深刻度 |
|---|---|---|---|---|
サイトとスペース デコレーターのレイアウト |
3.2.0 を含むすべてのバージョン。 |
3.2.1 and patch |
The BootstrapManager exposed in site and space layout templates should be read only. See CONF-19401 |
高 |
ログイン |
3.2.0 を含むすべてのバージョン。 |
3.2.1 |
Confluence does not set a maximum to the number of repeated login attempts. This makes Confluence vulnerable to a brute force attack. See CONF-19396 |
中程度 |
Risk Mitigation
We recommend that you upgrade your Confluence installation to fix these vulnerabilities. Please see the 'fix' section below.
Alternatively, if you are not in a position to upgrade immediately, you can patch your existing installation using the patches listed below. The patch will fix the problem with the decorator layouts.
You can prevent brute force attacks by following our guidelines on using Fail2Ban to limit login attempts.
修正
Confluence 3.2.1 fixes these issues. See the release notes. You can download Confluence 3.2.1 from the download centre.
Alternatively, if you are not in a position to upgrade immediately, you can patch your existing installation using the patches listed below. The patch will fix the problem with the decorator layouts.
Confluence で変更された動作
これらの問題を解決するために、Confluence の動作を次のように変更しました。
- Confluence がデコレーター レイアウトを処理する方法のセキュリティが改善されました。BootstrapManager は読み取り専用になりました。
- ログイン試行に 3 回失敗した後で再度ログインしようとすると、指定した単語を入力するように求める Captcha フォームが表示されます。これによって、ログイン画面を介したブルート フォース攻撃を防げます。また、XML-RPC または SOAP API を使用したログイン試行が 3 回失敗した後も、Web インターフェイス経由でログインするようにユーザーに指示するエラーメッセージが返されます。ユーザーがこのログイン方法を試みると、Captcha が自動で有効になります。
利用可能なパッチとプラグインのアップグレード
If for some reason you cannot upgrade to Confluence 3.2.1, you can apply the following patches and plugin upgrades to fix the most pressing vulnerabilities described in this security advisory.
パッチ手順のステップ 1: パッチをインストールする
パッチは Confluence 3.2.0、3.1.2、3.0.2、2.10.42.9.3、2.8.3 で利用できます。パッチを適用する前に、関連するメジャー バージョンの指定されたバグ修正リリースにアップグレードする必要があります。たとえば、バージョンが Confluence 3.0.0 である場合は、最初に 3.0.2 にアップグレードしてから関連するパッチを適用します。
利用可能なパッチは、次のような問題に対処します。
- XSS in search (CONF-19382).
- XSS in attachment upload (CONF-19388).
- XSS in the index browser JSP (CONF-19404).
- XSS in the JSP that provides an administrator with the location on the file system where the attachments for a given space are stored (CONF-19404).
- XSS in the JSP that allows an administrator to reset null emails addresses (CONF-19404).
- XSS in colour scheme settings (CONF-19384).
- XSS in error messages (CONF-19390 and CONF-19402).
- XSS in content rendering (CONF-19441).
- Secure handling of site and space decorator layouts (CONF-19401).
各パッチは上記のすべての問題に対応して、Confluence の特定のバージョンに適用できます。パッチをインストールするには、適切なバージョンをダウンロードして以下の手順に従います。
Confluence バージョン |
ファイル |
|---|---|
3.2.0 |
|
3.1.2 |
|
3.0.2 |
|
2.10.4 |
|
2.9.3 |
|
2.8.3 |
Applying the patch
Confluence のスタンドアロン ディストリビューションを使用している場合:
- Make a backup of the
<confluence_install_dir>/confluence/directory. - ご利用の Confluence バージョンについて、上記の表に示されている場所から
confluence-x-patch.zipファイルをダウンロードします。 - zip ファイルを
<confluence_install_dir>/confluence/に展開し、その場所にある既存のファイルを上書きします。 - Confluence を再起動します。
Confluence の WAR ディストリビューションを使用している場合は、次の手順に従います。
- Make a backup of the
<confluence_exploded_war>/confluence/ directory. - ご利用の Confluence バージョンについて、上記の表に示されている場所から
confluence-x-patch.zipファイルをダウンロードします。 - zip ファイルを
<confluence_exploded_war>/confluence/に展開し、その場所にある既存のファイルを上書きします。 - UNIX では「
build.sh clean」、Windows では「build.bat clean」を実行します。 - UNIX では
build.sh、Windows ではbuild.batを実行します。 - Confluence Web アプリをアプリケーション サーバーに再デプロイします。
パッチ適用のステップ 2: プラグインをアップグレードする
Two of the above vulnerabilities exist in plugins and are therefore not included in the patch. To fix these vulnerabilities, you will need to upgrade the affected plugin to get the fixed version. You can upgrade the plugins in the normal manner, via the Confluence Plugin Repository. Please refer to the documentation for more details on installing plugins.
- If you are running Confluence 3.1.0 or later, you will need to install the latest version of the Confluence Advanced Macros plugin. Earlier versions of Confluence are not affected and therefore do not need an upgraded plugin.
- If you are running Confluence 3.0.0 or later, you will need to install the latest version of the Social Bookmarking plugin. Earlier versions of Confluence are not affected and therefore do not need an upgraded plugin.
パッチ手順のステップ 3: 以前にインストールされたデータベース チェック ユーティリティがある場合は削除する
If you have previously downloaded and installed the testdatabase.jsp utility from the documentation page, you should now remove the testdatabase.jsp file from your <confluence-install>\confluence directory. See above for more details of this utility.
概要
コンテンツ ツール
アプリ
Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.