In this advisory:

ページ コンテンツの脆弱性

Confluence 3.0 にすでにアップグレードしている場合は、このページで説明されている脆弱性の影響を受けないため、それ以上のアクションは実行不要です。

深刻度

Atlassian rates these vulnerabilities as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.

Risk Assessment

公共の環境内の Confluence インスタンスに影響する可能性がある 2 つのセキュリティの脆弱性を特定し、修正しました。これらの修正はどちらも、特定のページ コンテンツを表示する場合、または新しいページ コンテンツを追加する場合の、ユーザー アクセス制限の強化に関連しています。

The first of these vulnerabilities allows a user without permission to view a given page, to view the contents of any files attached to that page using the view file macro. This assumes that the user has permission to edit or create another page within the Confluence site and knows the name of the file attached to the page they cannot view. For more information, please refer to the JIRA issue CONF-15809.

The second of these vulnerabilities allows users with space administrator permissions to import pages to a Confluence space. The security level of this function has been tightened to permit only users with the system administration permission to access it. For more information, please refer to CONF-15267.

Risk Mitigation

Confluence 3.0 にまだアップグレードしていない場合は、Confluence インストールをパッチ適用するかアップグレードして、これらの脆弱性を修正することをお勧めします。以下の「修正」セクションをご参照ください。

Alternatively, if you are not in a position to undertake this immediately and you judge it necessary, you can disable public access (e.g. anonymous access and public sign-on) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.

Vulnerability

Office Connector プラグインがインストールされたバージョン 2.10.3 以前の Confluence のすべてのバージョンが、最初のファイル表示マクロの脆弱性の影響を受けます。

Confluence 2.10.x すべてのバージョンが、2 番目のページのインポートの脆弱性の影響を受けます。

修正

These issues have been fixed in Confluence 3.0 (see the release notes), which you can download from the download centre.

Confluence 3.0 へのアップグレードを希望しない場合は、Jira サイトで提供されているパッチをダウンロードしてインストールできます。実行している Confluence のメジャー バージョンの最新リリースへアップグレードした後 (たとえば、Confluence 2.10.0 を実行している場合は、バージョン 2.10.3 にアップグレードする必要があります)、パッチを適用する必要があります。詳細については、以下に示す特定の Jira 課題をご参照ください。

To download the patch to fix the first view file macro vulnerability, please refer to CONF-15809.

To download the patch to fix the second page import vulnerability, please refer to CONF-15267.

  • ラベルなし

Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.