Confluence セキュリティ アドバイザリ 2010-09-21

2010-09-22 (Wed)  •  By 伊藤  •  ドキュメント  •  Confluence セキュリティ勧告 翻訳

今回の記事は、Confluence 管理ドキュメント「Confluence Security Advisory 2010-09-21 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

このアドバイザリではいくつかのセキュリティの脆弱性についてお知らせしています。これらは、弊社が Confluence の旧バージョンで確認したもので、Confluence 3.3.3 では修正されています。これらの脆弱性を修正するために、Confluence 3.3.3 へのアップグレードをお勧めします。

さまざまな Confluence 操作でのパス トラバーサル脆弱性

深刻度

セキュリティ問題に関する重大度の基準 に従い、Atlassian ではこれらの脆弱性の評価を ‘致命的’ としています。この基準では、脆弱性を致命的、高、中 もしくは低に分類しています。

リスク評価

さまざまな Confluence の操作でのパス トラバーサル脆弱性を確認し、修正しました。パス トラバーサル脆弱性を悪用することで、攻撃者は Confluence を実行するユーザーの権限に基づいて、Confluence を実行するサーバー上で任意のファイルを取得できるようになります。パス トラバーサル攻撃は ‘ディレクトリ トラバーサル’ または ‘ドット ドット スラッシュ’ (../) 攻撃とも呼ばれます。

Confluence インスタンスの脆弱度は、インスタンスの実装におけるいくつかの要因に依存します。脆弱性を低減させる方法については、以下のリスク軽減策を参照してください。

Open Web Application Security Project (OWASP) または他の Web サイトでパス トラバーサル攻撃の詳細を確認できます。

脆弱性

パス トラバーサル脆弱性は Confluence 3.3.1 までの全バージョンにおけるさまざまな Confluence 操作に存在します。

課題追跡については、CONFSERVER-20668 を参照してください。

リスク軽減

この脆弱性を修正するために Confluence インストールをアップグレードすることをお勧めします。

または、すぐにアップグレードする状況にない場合は、以下の緩和策を検討してください。

  • Confluence を自動的に起動するときにルート ディレクトリから起動しないようにします。代わりに、{Confluence-installation}/bin ディレクトリなど範囲を狭めたディレクトリから起動します。
  • Tomcat バージョンを 6.0.26 またはそれ以降にアップグレードします。この点は、独自の Tomcat サーバーで Confluence の WAR ディストリビューションを使用している場合に関係があります。
  • UNIX で Confluence を実行している場合は、chroot jail 内で Confluence を実行します。Steve Friedl の「Best Practices for UNIX chroot() Operations」を参照してください。
  • また、「Tomcat security best practices」のガイドラインを参照してください。(これは JIRA のドキュメントですが Confluence にも当てはまります。) 特に、Confluence を実行するユーザー名のファイル アクセス権を制限する必要があります。

対策

Confluence 3.3.3 ではこの問題が修正されています。Confluence 3.3.3 は ダウンロード センター からダウンロードできます。

Confluence 3.3.3 にアップグレードできない場合は、以下のパッチを使用して既存のインストールにパッチを適用します。

この脆弱性を報告してくれた UCLA の Warren Leung 氏に感謝します。弊社は脆弱性の報告に十分に対応しており、問題の確認と解決のための皆様の尽力に感謝しています。

Office コネクタの一時保存場所の設定

深刻度

セキュリティ問題に関する重大度の基準 に従い、Atlassian ではこの脆弱性の評価を ‘高’ としています。

リスク評価

Confluence の以前のバージョンでは、管理者は Office コネクタの一部であるファイル表示マクロの一時保存場所を設定できます。何らかの方法で攻撃者がシステムへの管理権限を取得してしまった場合、この脆弱性を悪用してファイル システムに悪意あるファイルを保存できます。

脆弱性

この脆弱性は Office コネクタの設定に存在し、Confluence 管理コンソールや関連する Confluence 操作を通して Confluence 管理者が利用可能です。

この脆弱性は Confluence 2.8 から 3.3.1 までのバージョンの Office コネクタがインストールされているシステムに影響を与えます。なお、Office コネクタは Confluence 2.10 およびそれ以降に同梱されています。

課題追跡については、CONFSERVER-20669 を参照してください。

リスク軽減

この脆弱性を修正するために Confluence インストールをアップグレードすることをお勧めします。

または、すぐにアップグレードする状況にないが必要だと判断した場合は、以下の緩和策のいずれかを選択してください。

  • Office コネクタ プラグインを無効にします。プラグインの無効化は Confluence 管理コンソールで行えます。プラグインのインストールと設定に関するドキュメントを参照してください。
  • 必要なアップグレードを適用するまで wiki への一般アクセス (匿名アクセスや一般サインオンなど) を無効にします。さらに厳しく制御するには、信頼グループにアクセスを制限できます。
  • また、Confluence のセキュリティ設定のベスト プラクティスに関するガイドラインを参照してください。

対策

Confluence 3.3.3 ではこの問題が修正されています。管理者はパスを設定するためにプロパティ ファイルを編集する必要があります。詳細については、リリース ノート を参照してください。Confluence 3.3.3 は ダウンロード センター からダウンロードできます。

Confluence 3.3.3 にアップグレードできない場合は、以下のパッチを使用して既存のインストールにパッチを適用します。

Office コネクタの XSS 脆弱性

深刻度

セキュリティ問題に関する重大度の基準 に従い、Atlassian ではこの脆弱性の評価を ‘高’ としています。

リスク評価

Confluence インスタンス (一般公開されているインスタンスを含む) に影響を与えるクロスサイト スクリプト (XSS) 脆弱性を確認し、修正しました。

攻撃者はこの脆弱性を悪用し、攻撃者自身の Web サーバーに資格情報を送信することで他のユーザーのセッション cookie やその他の資格情報を盗むことができます。

XSS 脆弱性を利用すると、攻撃者は独自の JavaScript を Confluence ページに埋め込むことができます。攻撃者のテキストとスクリプトがページの閲覧者に表示されることになり、会社の評判が損なわれる可能性があります。

XSS 攻撃については、cgisecurity、CERT、およびその他の Web サイトを参照してください。

脆弱性

XSS 脆弱性は Confluence Office コネクタのドキュメント インポート機能にあります。

この脆弱性は Office コネクタが有効になっている Confluence 3.3.1 にのみ存在します。なお、Office コネクタは Confluence に同梱されています。

課題追跡については、CONFSERVER-20670 を参照してください。

リスク軽減

この脆弱性を修正するために Confluence インストールをアップグレードすることをお勧めします。

または、すぐにアップグレードする状況にないが必要だと判断した場合は、Office コネクタ プラグインを無効にできます。プラグインの無効化は Confluence 管理コンソールで行えます。プラグインのインストールと設定に関するドキュメントを参照してください。

また、Confluence のセキュリティ設定のベスト プラクティスに関するガイドラインを参照してください。特に、Confluence 管理インターフェイスへのアクセスを制限するための Apache の使用に関するガイドラインを参照してください。

対策

Confluence 3.3.3 ではこの問題が修正されています。詳細については、リリース ノート を参照してください。Confluence 3.3.3 は ダウンロード センター からダウンロードできます。

Confluence の “ページのメール送信” プラグインの XSRF 脆弱性

深刻度

セキュリティ問題に関する重大度の基準 に従い、Atlassian ではこの脆弱性の評価を ‘高’ としています。

リスク評価

Confluence インスタンス (一般公開されているインスタンスを含む) に影響を与えるクロスサイト リクエスト フォージェリ (XSRF) 脆弱性を確認し、修正しました。

攻撃者はこの脆弱性を悪用し、ユーザーが知らない間に制限付きページのコンテンツを任意のアドレスにメール送信するするよう仕向けることがあります。XSRF 攻撃はユーザーに対するサイトの信頼を悪用することで成立します。ユーザーが Confluence にログインしており、ブラウザーが Confluence URL に対してリクエストするよう仕向けると、そのタスクはログイン ユーザーとして実行されます。

XSRF 攻撃については、cgisecurity およびその他の Web サイトを参照してください。

脆弱性

XSRF 脆弱性は Confluence の ‘ページのメール送信’ プラグインに存在します。

この脆弱性は、’ページのメール送信’ プラグインが有効になっている Confluence 2.4 から 3.3.1 までに存在します。なお、’ページのメール送信’ プラグインは既定で無効に設定されています。このプラグインを有効にしなければ、サイトは影響を受けません。

課題追跡については、CONFSERVER-20671 を参照してください。

リスク軽減

Confluence インストールをアップグレードするか、更新された ‘ページのメール送信’ プラグインをお使いの Confluence にインストールしてこの脆弱性を修正することをお勧めします。

または、すぐにアップグレードする状況にないが必要だと判断した場合は、Confluence の ‘ページのメール送信’ プラグインを無効に設定できます。(なお、プラグインは既定で無効に設定されています)。

対策

Confluence 3.3.3 ではこの問題が修正されています。詳細については、リリース ノート を参照してください。Confluence 3.3.3 は ダウンロード センター からダウンロードできます。

Confluence の ‘ページのメール送信’ プラグインの最新版 (v1.12) でもこの問題が修正されています。このプラグインは Atlassian プラグイン ライブラリからダウンロードできます。プラグインのインストールについては、マニュアルを参照してください。

利用可能なパッチとプラグインのアップグレード

何らかの理由で Confluence 3.3.3 にアップグレードできない場合は、以下のパッチおよびプラグイン アップグレードを適用して上記の脆弱性を修正できます。

パッチ適用手順 1 : パッチのインストール

Confluence 3.2.1 用 (つまり Confluence 3.2.1_01 ディストリビューション) のパッチを利用できます。Confluence 3.2.0 を使用している場合は、パッチを適用する前に Confluence 3.2.1 にアップグレードする必要があります。

このパッチは以下の問題に対処します。

パッチの適用

Confluence 3.2.1 のスタンドアロン版を使用している場合 :

  1. Confluence をシャットダウンします。
  2. <confluence_install_dir>/confluence/ ディレクトリのバックアップを作成します。
  3. confluence-3.2.1-to-3.3.2-security-patch.zip ファイルをダウンロードします。
  4. zip ファイルを <confluence_install_dir>/confluence/ に展開し、既存ファイルを上書きします。
  5. Confluence を再起動します。

Confluence の WAR 版を使用している場合 :

  1. Confluence をシャットダウンします。
  2. <confluence_exploded_war>/confluence/ ディレクトリのバックアップを作成します。
  3. confluence-3.2.1-to-3.3.2-security-patch.zip ファイルをダウンロードします。
  4. zip ファイルを <confluence_exploded_war>/confluence/ に展開し、既存ファイルを上書きします。
  5. UNIX で 'build.sh clean' を実行するか、または Windows で 'build.bat clean' を実行します。
  6. UNIX で 'build.sh' を実行するか、または Windows で 'build.bat' を実行します。
  7. Confluence web app をお使いのアプリケーション サーバーに再展開します。
  8. Confluence を再起動します。

パッチ適用手順 2 : プラグインのアップグレード

上記の脆弱性のいくつかはプラグインに存在するため、パッチには含まれません。これらの脆弱性を修正するには、該当するプラグインをアップグレードして修正バージョンを入手する必要があります。プラグインのアップグレードは、通常通り Confluence プラグイン レポジトリから行えます。プラグインのインストールについては、マニュアルを参照してください。

  1. ‘ページのメール送信’ プラグイン の最新版 (v1.12) をインストールします。
  2. Office コネクタ プラグイン のバージョン 1.7.1 をインストールします。

Related Articles

お気軽にお問い合わせください

お問い合わせ