Confluence 4.3 のサポートは終了しています。
ドキュメントの最新バージョンを確認してください。
This cumulative advisory announces a number of security vulnerabilities that we have found in Confluence and fixed in recent versions of Confluence. We also provide upgraded plugins and patches that you will be able to apply to existing installations of Confluence to fix these vulnerabilities. However, we recommend that you upgrade your complete Confluence installation rather than upgrading only the affected plugins. Enterprise Hosted customers should request an upgrade by raising a support request at http://support.atlassian.com. JIRA Studio is not vulnerable to any of the issues described in this advisory.
Atlassian is committed to improving product security. The vulnerabilities listed in this advisory have been discovered by Atlassian, unless noted otherwise. The reporter may also have requested that we do not credit them.
In this advisory:
XSS Vulnerabilities
深刻度
Atlassian rates the severity level of these vulnerabilities as high, according to the scale published in Severity Levels for Security Issues. The scale allows us to rank the severity as critical, high, moderate or low.
これらの脆弱性は重要ではありません。これは独立した評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
Risk Assessment
We have identified and fixed a number of cross-site scripting (XSS) vulnerabilities which may affect Confluence instances, including publicly available instances (that is, Internet-facing servers). XSS vulnerabilities allow an attacker to embed their own JavaScript into a Confluence page. You can read more about XSS attacks at cgisecurity.com, The Web Application Security Consortium and other places on the web.
Vulnerability
以下の表は、各 XSS 脆弱性の影響を受ける Confluence のバージョンと特定の機能について説明しています。
Confluence Feature | 影響する Confluence バージョン | Issue Tracking |
|---|---|---|
インクルード ページ マクロ | 2.7 – 3.4.6 | |
アクティビティ ストリームガジェット | 3.1 – 3.4.6 | |
添付ファイル リストのアクション リンク | 2.7 – 3.4.7 | |
コンテンツ テーブル マクロ | 2.9 – 3.4.8 |
Our thanks to Dave B, who reported the vulnerability in the action links of attachments lists. We fully support the reporting of vulnerabilities and we appreciate it when people work with us to identify and solve the problem.
Risk Mitigation
We recommend that you upgrade your Confluence installation to fix these vulnerabilities.
Alternatively, if you are not in a position to upgrade immediately and you judge it necessary, you can disable public signup to your wiki until you have applied the necessary patch or upgrade. For even tighter control, you could restrict access to trusted groups.
We also recommend that you read our guidelines on best practices for configuring Confluence security.
修正
Confluence 3.4.9 or later fixes all of these issues. Some issues have been fixed in earlier versions as described in the table above. For a full description of this release, see the release notes. You can download the latest version of Confluence from the download centre. The most recent version at the time of this advisory is Confluence 3.5.
Patches
If for some reason you cannot upgrade to the latest version of Confluence, you can upgrade the relevant plugins (below) in your Confluence installation to fix the vulnerabilities described in this security advisory.
プラグイン マネージャを使用した Confluence のプラグインのアップグレードの詳細については、次をご参照ください。
- Upgrading your Existing Plugins (for Confluence 3.4.x) or
- Installing and Configuring Plugins using the Plugin Repository Client (for Confluence 3.3.x).
Patches are also attached to the relevant issues (listed in the table above) if you need to apply these fixes manually.
Please note that we have released a number of advisories about Confluence recently. We recommend that you review them and upgrade to the most recent release of the product or apply external security controls if you cannot. Most of the disclosed vulnerabilities are not critical and often present less risk when used in a corporate environment with no access from the Internet.
We usually provide patches only for vulnerabilities of critical severity, as an interim solution until you can upgrade. You should not expect that you can continue patching your system instead of upgrading. Our patches are often non-cumulative – we do not recommend that you apply multiple patches from different advisories on top of each other, but strongly recommend to upgrade to the most recent version regularly.
We recommend patching only when you can neither upgrade nor apply external security controls.
ページを含めるマクロ
サポートされている Confluence バージョン | Issue Tracking | ファイル名 | ダウンロード可能なパッチ |
|---|---|---|---|
3.4.x | confluence-advanced-macros-1.12.4.jar | ||
3.3.x | confluence-advanced-macros-1.9.3.jar |
この修正を適用するには、プラグイン マネージャーを使用して、高度なマクロ プラグインを、上記のファイル名で指定されたバージョン以上のバージョンにアップグレードします。
アクティビティ ストリームガジェット
サポートされている Confluence バージョン | Issue Tracking | ファイル名 | ダウンロード可能なパッチ |
|---|---|---|---|
3.3.x | streams-confluence-plugin-3.3-CONF-21606.jar | ||
3.4.x | streams-confluence-plugin-3.4.6.jar |
現時点では、3.4 プラグイン マネージャまたは 3.3 プラグイン リポジトリを使用してアクティビティ ストリームを自動アップグレードできません。代わりに、次のプラグインを手動でインストールする必要があります。
- ご利用の Confluence のバージョン用の JAR ファイルをダウンロードします (上記参照)。
- プラグイン マネージャーの [Install (インストール)] タブにある [Upload Plugin (プラグインのアップロード)] リンクを使用して、プラグインを手動でインストールします。
添付ファイル リストのアクション リンク
サポートされている Confluence バージョン | Issue Tracking | ファイル名 | ダウンロード可能なパッチ |
|---|---|---|---|
3.3.x, 3.4.x | confluence-attachments-plugin-2.20.jar |
この修正を適用するには、プラグイン マネージャーを使用して、Confluence 添付ファイル プラグイン プラグインを、上記のファイル名で指定されたバージョン以上のバージョンにアップグレードします。
コンテンツ テーブル マクロ
サポートされている Confluence バージョン | Issue Tracking | ファイル名 | ダウンロード可能なパッチ |
|---|---|---|---|
3.3.x, 3.4.x | toc-plugin-2.4.12.jar |
この修正を適用するには、プラグイン マネージャを使用して、目次プラグインを上記のファイル名で指定されたバージョン以上のバージョンにアップグレードします。
概要
コンテンツ ツール
アプリ
Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.