Confluence セキュリティ アドバイザリ 2010-11-15

2010-11-15 (Mon)  •  By 伊藤  •  ドキュメント  •  Confluence セキュリティ勧告 翻訳

Confluence リモート API におけるセキュリティの脆弱性

深刻度

セキュリティ問題に関する重大度の基準 」に従い、Atlassian ではこれらの脆弱性の評価を 致命的 としています。この基準では、脆弱性を致命的、高、中 もしくは低に分類しています。この基準では、脆弱性を致命的、高、中 もしくは低に分類しています。

リスク評価

Confluence インスタンスに影響を与えうる、リモート API に関する脆弱性を確認し、さらに対策を施しました。これには外部公開されているインスタンスも含まれます。攻撃者はリモート API を利用することで、システム管理者レベル以外のユーザー特権のエスカレーションを行いうことが可能です。

脆弱性

以下の表は、RPC 脆弱性の影響を受ける Confluence バージョンおよび特定の機能についての説明です。

Confluence 機能影響を受ける Confluence バージョン対応バージョン課題追跡
ユーザー アクセス2.7 – 3.43.4.2CONF-21162

リスク軽減

この脆弱性への対策として、お使いの Confluence インストールのアップグレードを行うことをお勧めします。

また、お使いの Confluence インスタンスへパッチを適用するか、アップグレードを行うまでリモート API を無効にしておくことを強くお勧めします。リモート API が重要な場合、リモート API への匿名アクセスを無効にする ことをお勧めします。

それ以外にも、「Confluence セキュリティの設定に関するベスト プラクティス 」のガイドラインをお読みになることをお勧めします。

対策

Confluence 3.4.2 ではこの問題が修正されています。このリリースに関する詳細については、リリース ノート を参照してください。Confluence 3.4.2 は ダウンロード センター からダウンロードできます。

Confluence 3.4.2 にアップグレードできない場合は、既存のインストールに以下のパッチを適用します。

利用可能なパッチ

Confluence 最新バージョンへのアップグレードができない場合、以下のパッチを適用することでこのセキュリティ勧告で述べられている脆弱性への対応が可能です。

脆弱性パッチ
Confluence リモート API に関するセキュリティの脆弱性confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip

パッチ適用手順 1 : パッチのインストール

パッチは Confluence 2.7 – 3.4.1 で利用できます。

このパッチは以下の問題に対処しています。

  • Confluence RPC に関するセキュリティの脆弱性 (CONF-21162 )

パッチの適用

Confluence 2.7 – 3.4.1 のスタンドアロン版を使用している場合 :

  1. Confluence をシャットダウンします。
  2. <confluence_install_dir>/confluence/ ディレクトリのバックアップを作成します。
  3. confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip ファイルをダウンロードします。
  4. zip ファイルを <confluence_install_dir>/confluence/ に展開し、既存ファイルを上書きします。
  5. Confluence を再起動します。
  6. <Confluence base url>/admin/patch342applied.jsp へアクセスし、”The Patch for Confluence 3.4.2 has been correctly applied.” と報告されていることを確認します。

Confluence の WAR 版を使用している場合 :

  1. Confluence をシャットダウンします。
  2. <confluence_exploded_war>/confluence/ ディレクトリのバックアップを作成します。
  3. confluence-3.4.2-security-patch-for-2.7-to-3.4.1.zip ファイルをダウンロードします。
  4. zip ファイルを <confluence_exploded_war>/confluence/ に展開し、既存ファイルを上書きします。
  5. UNIX で ‘build.sh clean‘ を実行するか、または Windows で ‘build.bat clean‘ を実行します。
  6. UNIX で ‘build.sh‘ を実行するか、または Windows で ‘build.bat‘ を実行します。
  7. Confluence web app をお使いのアプリケーション サーバーに再展開します。
  8. Confluence を再起動します。
  9. <Confluence base url>/admin/patch342applied.jsp へアクセスし、”The Patch for Confluence 3.4.2 has been correctly applied.” と報告されていることを確認します。

Related Articles

お気軽にお問い合わせください

お問い合わせ