Confluence 5.2 のサポートは終了しています。
ドキュメントの最新バージョンを確認してください。
このアドバイザリでは、Confluence の最新バージョンで見つかって修正されたセキュリティの脆弱性を公開します。
- Confluence をダウンロードしてインストールしたお客様は、既存の Confluence インストールをアップグレードして脆弱性を修正する必要があります。
- Enterprise Hosted customers need to request an upgrade by raising a support request. See Enterprise Hosting Upgrade Time Windows for instructions.
- Atlassian OnDemand と Jira Studio のお客様は、このアドバイザリに記載されている問題の影響は受けません。
Atlassian is committed to improving product security. The vulnerability listed in this advisory has been discovered by Atlassian, unless noted otherwise. The reporter may also have requested that we do not credit them.
If you have questions or concerns regarding this advisory, please raise a support request at http://support.atlassian.com/.
In this advisory:
XSS 脆弱性
深刻度
Atlassian rates the severity level of this vulnerability as High, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, medium or low.
This is an independent assessment and you should evaluate its applicability to your own IT environment. This vulnerability is not of Critical severity.
説明
公開されているインスタンス (インターネットに直接接続されたサーバー) を含む、Confluence インスタンスに影響する、間接的に生じる、または永続的でない Cross-site Scripting (XSS) の脆弱性を、特定して修正しました。XSS 脆弱性によって、Confluence ページが被害者のブラウザーで表示されるときに、攻撃者が独自の JavaScript を Confluence ページに埋め込めます。攻撃者にとって Confluence サーバー上のアカウントは不要です。ただし、攻撃が成功しても、必ずしもサーバー コンテンツが変更されるとは限りません。
We recommend you to read about XSS attacks at Wikipedia, The Web Application Security Consortium and other places on the web before considering specific mitigations for this vulnerability.
This vulnerability affects all versions of Confluence earlier than 4.1.8. It has been fixed in Confluence 4.1.9 and later. This issue can be tracked here: CONF-26366 - Getting issue details... STATUS
Risk Mitigation
この脆弱性を修正するには、Confluence インストールをアップグレードすることを強くお勧めします。以下の「修正」セクションをご参照ください。
考えられる回避策の 1 つは、特定の URL へのリクエストが Confluence に到達する前にブロックすることです。ファイル名が .vm である任意の Confluence URL に対する HTTP GET リクエストをブロックする必要があります。たとえば、Confluence に対応するために Apache Web サーバーを使用して、Confluence が /wiki パスにある場合は、次のルールを設定して XSS の試行をブロックできます。
<LocationMatch ^/wiki/.*\.vm\?.* > Deny from all </LocationMatch> <LocationMatch ^/wiki/.*\.vm$ > Deny from all </LocationMatch>
回避策を適用する前に、XSS 攻撃の仕組みに関する上記のリンクを読むことをお勧めします。このコードは一例に過ぎません。
修正
アップグレード
脆弱性と修正バージョンは、上記の「説明」セクションで説明されています。
We recommend that you upgrade to Confluence 4.1.9 or later, if possible. For a full description of the latest version of Confluence, see the release notes. You can download the latest version of Confluence from the download centre.
Update 13 Sep 2012: Patch for Confluence 3.5.x is now available. See the issue CONF-26366 - Getting issue details... STATUS for patch files and instructions. Please note this patch goes beyond our current Security Patch Policy and you should not expect availability of similar patches in the future. Patching is a measure of last resort when you cannot upgrade.
Our thanks to D. Niedermaier of Intrest SEC who reported the XSS vulnerability described in this advisory. We fully support the reporting of vulnerabilities and we appreciate it when people work with us to identify and solve the problem.
概要
コンテンツ ツール
アプリ
Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.