Confluence セキュリティ アドバイザリ 2011-05-31

2011-06-01 (Wed)  •  By 伊藤  •  ドキュメント  •  Confluence セキュリティ勧告 翻訳

今回の記事は、Confluence 管理ドキュメント「Confluence Security Advisory 2011-05-31 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

このアドバイザリでは、Confluence で発見されたいくつかのセキュリティの脆弱性についてお知らせしています。これらの脆弱性は最近のバージョンの Confluence では修正されています。これら脆弱性を修正するためのアップグレード済みプラグインおよび修正プログラムも用意されており、既存の Confluence インスタンスに適用いただけます。しかし、影響を受けるプラグインのみをアップグレードするのではなく、お使いの Confluence インスタンス全体のアップグレードを推奨します。企業向けホスティング版 ユーザーの方は http://support.atlassian.com でサポート チケットを作成し、アップグレードのリクエストを行ってください。JIRA Studio はこのアドバイザリで解説されているどの問題についても脆弱ではありません。

Atlassian は製品の安全性の向上に努めております。特に注意書きがない限り、このアドバイザリで解説されている脆弱性は Atlassian が発見したものです。また、報告者の要請により、その報告者の名前を記載していない場合もあります。

XSS 脆弱性

深刻度

セキュリティ問題に関する重大度の基準 」に従い、Atlassian ではこれらの脆弱性の評価を としています。 この基準では、脆弱性を致命的、高、中 もしくは低に分類しています。これらの脆弱性は致命的では ありません。また、これは弊社独自評価ですので、ご自身の IT 環境への適用性について評価を行ってください。

リスク評価

公開されているインスタンス (つまり、インターネットに直接接続しているサーバー) を含む、Confluence インスタンスに影響を与える可能性があるクロスサイト スクリプト (XSS) 脆弱性の確認と修正を行いました。XSS 脆弱性により、攻撃者は独自の JavaScript を Confluence ページに埋め込むことが可能になります。XSS 攻撃に関する詳細については、cgisecurity.comWeb Application Security Consortium およびその他のサイトを参照してください。

脆弱性

以下の表は各 XSS 脆弱性によって影響を受ける Confluence バージョンと特定の機能について説明しています。

Confluence 機能影響を受ける
Confluence バージョン
対応バージョン課題追跡番号
ログイン3.5 – 3.5.23.5.3CONF-22402
ユーザー設定2.7 – 3.5.23.5.3CONF-22479

上記脆弱性を報告していただいた Marian Ventuneac 氏 (http://www.ventuneac.net ) に感謝いたします。弊社では 脆弱性の報告に対してのフル サポート を行っています。問題の特定および解決にご協力いただけると助かります。

リスク緩和策

これらの脆弱性への対策として、お使いの Confluence インスタンスのアップグレードを行うことをお勧めします。

また、アップグレードをすぐに行えないが、その必要を感じている場合、必要な修正プログラムやアップグレードの適用するまで、お使いの Confluence での パブリック サインアップを無効 にしておくことも可能です。管理をより強化するために、アクセスを信頼できる グループ のみに制限することも考えられます。

それ以外にも、「Confluence セキュリティの設定に関するベスト プラクティス 」のガイドラインをお読みになることをお勧めします。

修正

これらの脆弱性 (CONF-22402 および CONF-22479 ) はともに Confluence 3.5.3 以降では修正済みです。

Confluence の最新バージョンに関する詳細については、リリース ノート を参照してください。最新バージョンの Confluence のダウンロードは、ダウンロード センター にて行えます。

最新バージョンの Confluence へのアップグレードができない場合は、以下に記載されている修正プログラムを使用して、お使いのインスタンスに一時的にパッチを適用することも可能です。

修正プログラム

Confluence 3.5 をお使いの場合、Confluence 3.5.3 へのアップグレードを強く推奨します。 Confluence 3.4 をお使いの場合、以下の修正プログラムを適用することで脆弱性 CONF-22479 に対応することができます。脆弱性 CONF-22402 は Confluence 3.4 に影響を及ぼしません。

脆弱性修正プログラム修正プログラムのファイル名
ユーザー設定課題 CONF-22479 に添付済みCONF-22479_patch.zip

修正プログラム適用手順 : 修正プログラムのインストール

修正プログラムは Confluence 3.4 – 3.4.9 でご利用いただけます。

この修正プログラムは以下の問題に対処しています。

  • Confluence のユーザー設定におけるセキュリティの脆弱性 (CONF-22479 )

修正プログラムの適用

Confluence 3.4 – 3.4.9 をお使いの場合 :

  1. 課題 CONF-22479 に添付されているファイル CONF-22479_patch.zip をダウンロードします。
  2. Confluence をシャットダウンします。
  3. <confluence_install_dir>/confluence/ ディレクトリのバックアップを作成します。
  4. ダウンロードした zip ファイルを <<confluence_install_dir> に展開し、既存ファイルを上書きします。
  5. 以下のファイルが作成されたことを確認します :
    • confluence/WEB-INF/classes/com/atlassian/confluence/core/ConfluenceActionSupport.properties
    • confluence/WEB-INF/classes/com/atlassian/confluence/languages/DefaultLocaleManager.class
    • confluence/WEB-INF/classes/com/atlassian/confluence/user/actions/EditMySettingsAction.class
  6. Confluence を再起動します。

XSRF 脆弱性

深刻度

セキュリティ問題に関する重大度の基準 」に従い、Atlassian ではこれらの脆弱性の評価を としています。 この基準では、脆弱性を致命的、高、中 もしくは低に分類しています。

これらの脆弱性は致命的では ありません。また、これは弊社独自評価ですので、ご自身の IT 環境への適用性について評価を行ってください。

リスク評価

公開されているインスタンス (つまり、インターネットに直接接続しているサーバー) を含む、Confluence インスタンスに影響を与える可能性があるクロスサイト リクエスト フォージェリ (XSRF) 脆弱性の確認と修正を行いました。XSRF 脆弱性により、攻撃者はユーザーをだまして本人が気が付かないうちに Confluence スペースにブックマークを追加させることが可能になります。XSRF 攻撃に関する詳細については、http://www.cgisecurity.com/csrf-faq.html およびその他のサイトを参照してください。

脆弱性

以下の表はこの XSRF 脆弱性によって影響を受ける Confluence バージョンと特定の機能について説明しています。

Confluence 機能影響を受ける
Confluence バージョン
対応バージョン課題追跡番号
ソーシャル ブックマーク プラグイン3.0 – 3.4.93.5CONF-22565

リスク緩和策

これらの脆弱性への対策として、お使いの Confluence インスタンスのアップグレードを行うことをお勧めします。

また、アップグレードをすぐに行えないが、その必要を感じている場合、必要な修正プログラムやアップグレードの適用するまで、お使いの Confluence での パブリック サインアップ を無効にしておくことも可能です。管理をより強化するために、アクセスを信頼できる グループ のみに制限することも考えられます。

それ以外にも、「Confluence セキュリティの設定に関するベスト プラクティス 」のガイドラインをお読みになることをお勧めします。

修正プログラム

Confluence 3.5 をお使いの場合、脆弱性 CONF-22565 はすでに修正されています。しかし、最新バージョンの Confluence へのアップグレードを強く推奨します。

Confluence 3.4 をお使いの場合、以下の修正プログラムを適用することで脆弱性 CONF-22565 に対応することができます。

プラグイン マネージャーを使用した、Confluence プラグインのアップグレードに関する詳細については、以下を参照してください :

脆弱性修正プログラム修正プログラムのファイル名
ソーシャル ブックマーク プラグイン課題 CONF-22565 に添付済みsocialbookmarking-1.3.9.jar

修正プログラム適用手順 : 修正プログラムのインストール

修正プログラムは Confluence 3.4 - 3.4.9 でご利用いただけます。

この修正プログラムは以下の問題に対処しています。

  • Confluence のソーシャル ブックマーク プラグインにおけるセキュリティの脆弱性 (CONF-22565 )

修正プログラムの適用

Confluence 3.4 - 3.4.9 をお使いの場合、プラグイン マネージャーを使用して、上記ファイル名で指定されているバージョンもしくはそれ以降にソーシャル ブックマーク プラグインをアップグレードしてください。プラグイン マネージャーを使用に関する詳細については、「既存プラグインのアップグレード 」を参照してください。


Related Articles

お気軽にお問い合わせください

お問い合わせ