Confluence 3.4 のサポートは終了しています。
ドキュメントの最新バージョンを確認してください。
This advisory announces a number of security vulnerabilities in earlier versions of Confluence that we have found and fixed in Confluence 3.3. In addition to releasing Confluence 3.3, we also provide patches (in the form of plugin upgrades) for the vulnerabilities mentioned. You will be able to apply these plugin upgrades to older versions of Confluence. There will, however, be a number of security improvements in Confluence 3.3 that cannot be patched or backported. We recommend upgrading to Confluence 3.3 rather than applying the plugin upgrades.
In this advisory:
XSS Vulnerabilities
深刻度
Atlassian rates the severity level of these vulnerabilities as high, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.
Risk Assessment
公共の環境における Confluence インスタンスに影響する可能性のある Cross-site Scripting (XSS) の数多くの脆弱性を、特定して修正しました。これらの脆弱性は、以下の表で説明されている Confluence 機能で公開されています。
- 攻撃者は、この脆弱性を利用して他のユーザーのセッション クッキーやその他の資格情報を盗み、その資格情報を攻撃者自身の Web サーバーに送り返す可能性があります。
- これらの XSS 脆弱性によって、攻撃者が独自の JavaScript を Confluence ページに埋め込めるようになる可能性があります。攻撃者のテキストとスクリプトが、このページを表示している他のユーザーに表示される可能性があります。これによって、貴社の評判が損なわれる可能性があります。
You can read more about XSS attacks at cgisecurity, CERT and other places on the web.
Vulnerability
We have identified and fixed vulnerabilities in the Confluence features described in the table below.
Confluence Feature |
影響する Confluence バージョン |
Issue Tracking |
|---|---|---|
PDF エクスポート |
3.1.0 ~ 3.2.1 |
|
Clickr テーマ |
2.7.0 ~ 3.2.1 |
|
Tasklist macro |
2.8.0 ~ 3.2.1 |
|
Contributors plugin (Contributors macro and Contributors Summary macro) |
3.0.0 ~ 3.2.1 |
Risk Mitigation
We recommend that you upgrade your Confluence installation to fix these vulnerabilities. Please see the 'fix' section below.
Alternatively, if you are not in a position to upgrade immediately and you judge it necessary, you can apply one or both of the following mitigations:
- Disable every one of the affected plugins, as listed below. You can disable plugins via the Confluence Administration Console. See our documentation on installing and configuring plugins.
- Disable public access (such as anonymous access and public sign-on) to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.
In addition, please refer to our guidelines on best practices for configuring Confluence security. In particular, please read our guidelines on using Apache to limit access to the Confluence administration interface.
修正
ご利用の Confluence バージョンとすぐにアップグレードできる条件に最も適したオプションを、以下から選択してください。
オプション 1 (推奨): Confluence 3.3 にアップグレード
We recommend that you upgrade to Confluence 3.3, which fixes all of the security issues reported in this advisory. See the Confluence 3.3 release notes. You can download Confluence 3.3 from the download centre.
オプション 2: 影響を受けるプラグインをアップグレードまたは無効にする
Confluence インストールをアップグレードできない場合は、影響を受けるプラグインをアップグレードまたは無効にして、このセキュリティ アドバイザリで説明されている脆弱性を修正できます。
- You can upgrade the plugins in the normal manner, via the Confluence Plugin Repository or by manually uploading the JAR. Please refer to the documentation for more details on installing plugins.
- You can disable plugins via the Confluence Administration Console. See our documentation on installing and configuring plugins.
影響を受ける機能 |
プラグインをアップデートできる Confluence バージョン |
プラグインのアップグレードまたは無効化 |
|---|---|---|
PDF エクスポート プラグイン |
3.1 – 3.3 |
Confluence 3.3 にアップグレードできない場合は、次の手順に従います。
|
Clickr テーマ |
3.2 – 3.3 |
Confluence 3.3 にアップグレードできない場合は、次の手順に従います。
|
Tasklist macro |
3.1 – 3.3 |
Confluence 3.3 にアップグレードできない場合は、次の手順に従います。
|
コントリビューター プラグイン |
3.0 – 3.3 |
Confluence 3.3 にアップグレードできない場合は、次の手順に従います。
|
概要
コンテンツ ツール
アプリ
Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.