このアドバイザリは、4.1.9 を含む Confluence のすべてのバージョンに存在する重大なセキュリティの脆弱性を開示しています。

  • Customers who have downloaded and installed Confluence should upgrade their existing Confluence installations to fix this vulnerability.  
  • Enterprise Hosted customers need to request an upgrade by raising a support request at http://support.atlassian.com in the "Enterprise Hosting Support" project.
  • Jira Studio および Atlassian OnDemand のお客様は、このアドバイザリに記載されている問題の影響を受けることはありません。

Atlassian is committed to improving product security. The vulnerability listed in this advisory has been discovered by Atlassian, unless noted otherwise. The reporter may also have requested that we do not credit them. 

If you have questions or concerns regarding this advisory, please raise a support request at http://support.atlassian.com/.

In this advisory:

重大な XML 解析の脆弱性

深刻度

Atlassian rates the severity level of this vulnerability as critical, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.

This is an independent assessment and you should evaluate its applicability to your own IT environment.

説明

サードパーティの XML パーサーが Confluence で使用される方法から生じる Confluence の脆弱性を、特定して修正しました。この脆弱性によって、攻撃者が次を実行できるようになります。

  • Confluence サーバーに対するサービス拒否攻撃を実行する、または
  • read all local files readable to the system user under which Confluence runs.

攻撃者は、影響を受ける Confluence インスタンスのアカウントは不要です。

All versions of Confluence up to and including 4.1.9 are affected by this vulnerability. This issue can be tracked here: CONF-25077 - Getting issue details... STATUS

The Gliffy for Confluence plugin is also vulnerable to this exploit. If you are using the Gliffy plugin for Confluence with any version of Confluence, you will need to upgrade it (see 'Fix' section below) or disable it.

Risk Mitigation

この脆弱性を解決するために、Confluence インストールをアップグレードすることをお勧めします。

または、すぐにアップグレードする立場にない場合は、アップグレードできるようになるまで次のすべてを実行する必要があります。これらの対策は脆弱性の影響を制限するだけで、完全に緩和するわけではないことにご注意ください。

  • Disable access to the SOAP and XML-RPC APIs, if these remote APIs are not required. Note, remote API access is disabled by default. See enabling remote APIs for instructions.
    Disable the following plugins/plugin modules (see Disabling and enabling apps):
    • Office コネクタ プラグイン
    • JUnitReport macro module of the confluence-advanced-macros plugin (called "Advanced Macros" in the interface)
    • confluence-jira3-macros plugin (called "JIRA Macros" in the interface)
    • webdav
  • Disable public access (such as anonymous access  and public signup) to Confluence until you have upgraded.
  • Ensure that your Confluence system user is restricted as described in best practices for configuring Confluence security.

修正

アップグレード 

  1. Upgrade to Confluence 4.2 or later which fixes this vulnerability. For a full description of this release, see the Confluence 4.2 Release Notes. The following releases have also been made available to fix these issues in older Confluence versions.  You can download these versions of Confluence from the download centre. 

    • Confluence 4.1 用の Confluence 4.1.10 
    • Confluence 4.0 用の Confluence 4.0.7 
    • Confluence 3.5.17 for Confluence 3.5

  2.  Upgrade the following Confluence third-party plugins, if you are using them. The table below describes which version of the plugin you should upgrade to, depending on your Confluence version. See Updating Add-ons for instructions on how to update a plugin. 

    プラグインConfluence 4.2Confluence 4.1Confluence 4.0Confluence 3.5

    Gliffy plugin for Confluence

    		4.24.24.24.2

Patches

この脆弱性に対して利用可能なパッチはありません。脆弱性を修正するために必要な変更の程度によって、Confluence の信頼性を損なうことなくこの課題を解決するパッチは提供できません。この脆弱性を修正するには、アップグレードする必要があります。

  • ラベルなし

Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.