Confluence リモート API におけるセキュリティの脆弱性

深刻度

Atlassian rates the severity level of this vulnerability as critical, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.

Risk Assessment

公開されているインスタンスを含む Confluence インスタンスに影響するリモート API の脆弱性を、特定して修正しました。リモート API によって、攻撃者がユーザー権限をエスカレートさせてシステム管理者権限のレベルを除外できます。

Vulnerability

以下の表は、RPC 脆弱性の影響を受ける Confluence のバージョンと特定の機能について説明しています。

Confluence Feature

影響する Confluence バージョン

修正対象バージョン

Issue Tracking

ユーザーアクセス

2.7 – 3.4

3.4.2

CONF-21162

Risk Mitigation

この脆弱性を解決するために、Confluence インストールをアップグレードすることをお勧めします。

We strongly advise that you disable the remote APIs until your Confluence instance is patched or upgraded. If the Remote API is vital, we recommend you disable anonymous access to the remote API.

We also recommend that you read our guidelines on best practices for configuring Confluence security.

修正

Confluence 3.4.2 fixes this issue. For a full description of this release, see the release notes. You can download Confluence 3.4.2 from the download centre.

If you cannot upgrade to Confluence 3.4.2, you can patch your existing installation using the patch listed below.

利用可能なパッチ

何らかの理由で Confluence の最新バージョンにアップグレードできない場合は、次のパッチを適用して、このセキュリティ アドバイザリに記載されている脆弱性を修正できます。

Vulnerability

Patch

Confluence リモート API におけるセキュリティの脆弱性

confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip

パッチ手順: パッチをインストールする

Confluence 2.7 ~ 3.4.1 用のパッチが利用可能です。

The patch addresses the following issue:

  • Security vulnerability in Confluence RPC (CONF-21162).
Applying the patch

Confluence 2.7 ~ 3.4.1 ディストリビューションを使用している場合は、次の手順に従います。

  1. Confluence をシャットダウンします。
  2. Make a backup of the <confluence_install_dir>/confluence/ directory.
  3. Download the confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip file.
  4. zip ファイルを <confluence_install_dir>/confluence/ に展開して、既存のファイルを上書きします。
  5. Confluence を再起動します。
  6. <Confluence base url>/admin/patch342applied.jsp にアクセスして「The Patch for Confluence 3.4.2 has been correctly applied. (Confluence 3.4.2 のパッチが正しく適用されました)」と報告されていることを確認します。

Confluence の WAR ディストリビューションを使用している場合は、次の手順に従います。

  1. Confluence をシャットダウンします。
  2. Make a backup of the <confluence_exploded_war>/confluence/ directory.
  3. Download the confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip file.
  4. zip ファイルを <confluence_exploded_war>/confluence/ に展開して、既存のファイルを上書きします。
  5. UNIX では「build.sh clean」、Windows では「build.bat clean」を実行します。
  6. UNIX では build.sh、Windows では build.bat を実行します。
  7. Confluence Web アプリをアプリケーション サーバーに再デプロイします。
  8. Confluence を再起動します。
  9. <Confluence base url>/admin/patch342applied.jsp にアクセスして「The Patch for Confluence 3.4.2 has been correctly applied. (Confluence 3.4.2 のパッチが正しく適用されました)」と報告されていることを確認します。
  • ラベルなし

Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.