Confluence 5.2 のサポートは終了しています。
ドキュメントの最新バージョンを確認してください。
In this advisory:
さまざまな Confluence アクションとマクロの XSS 脆弱性
深刻度
Atlassian rates these vulnerabilities as high, according to the scale published in Confluence Security. The scale allows us to rank a vulnerability as critical, high, moderate or low.
Risk Assessment
公共の環境における Confluence インスタンスに影響する可能性のあるセキュリティ上の数多くの欠陥を、特定して修正しました。これらは、さまざまな Confluence ページ/ブログの機能に影響を与える Cross-site Scripting (XSS) です。
- ハッカーはこの欠陥を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報をハッカー自身の Web サーバーに送り返す可能性があります。
- The hacker's text and script might be displayed to other people viewing the Confluence page. This is potentially damaging to your company's reputation.
You can read more about XSS attacks at cgisecurity, CERT and other places on the web.
Risk Mitigation
これらの脆弱性を解決するため、Confluence インストールをパッチまたはアップグレードすることをお勧めします。以下の「修正」セクションを参照してください。
Alternatively, if you are not in a position to undertake this immediately and you judge it necessary, you can disable public access (e.g. anonymous access and public signup) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.
Vulnerability
ハッカーは独自の JavaScript をさまざまな Confluence URL に挿入できます。影響を受ける機能領域については、以下の表をご参照ください。ユーザーが Confluence で特定の機能 (リンクやボタンのクリックなど) を実行したときに、URL が呼び出されることがあります。URL は、ブラウザーのアドレス バーに入力するだけでも呼び出せます。このような URL に不正な JavaScript が挿入された場合は、ユーザーが URL を呼び出すと JavaScript が実行されます。
For more details please refer to the related JIRA issue, also shown in the table below.
影響を受ける Confluence 機能 | 影響する Confluence バージョン | 可用性を修正 | 詳細情報 |
|---|---|---|---|
同時ページ編集メッセージ | すべてのバージョン (1.0 ~ 2.10.3 (これらを含む)) | 2.9.2 と 2.10.3 | |
ギャラリー マクロ (Confluence の高度なマクロ プラグイン) | すべてのバージョン (1.0 ~ 2.10.3 (これらを含む)) | 2.10.3 | |
ファイルの表示マクロ (Office コネクタ プラグイン) | 2.10.0 〜 2.10.3(これらを含む)* | 2.10.3 | |
インスタント メッセンジャー マクロ | すべてのバージョン (1.0 ~ 2.10.3 (これらを含む)) | 2.8.2、2.9.2、2.10.3 | |
投稿者マクロ | 2.3 ~ 2.10.3(これらを含む) | 2.9.2 と 2.10.3 | |
Jira 課題マクロ | すべてのバージョン (1.0 ~ 2.10.3 (これらを含む)) | 2.10.3 |
*この脆弱性は、Office コネクタ プラグインがインストールされている以前の Confluence バージョンに存在する可能性があります。
修正
These issues have been fixed in Confluence 3.0 (see the release notes), which you can download from the download centre.
If you do not wish to upgrade to Confluence 3.0, you can download and install the patches provided on our JIRA site. You will need to upgrade to the latest point release for the major version of Confluence that you are running (e.g. if you are running Confluence 2.9, you will need to upgrade to version 2.9.2) and then apply the patches. For more information, please refer to the specific JIRA issues shown in the table of vulnerabilities above.
概要
コンテンツ ツール
アプリ
Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.