Confluence セキュリティ アドバイザリ 2019-03-20

2019-03-20 (Wed)  •  By 伊藤  •  ドキュメント  •  Confluence セキュリティ勧告 翻訳

今回の記事は、Confluence 管理ドキュメント「Confluence Security Advisory – 2019-03-20 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Confluence セキュリティ アドバイザリ (2019 年 03 月) – WebDAV ならびに Widget Connector に関する脆弱性

概要
  • 2019 年 03 月 Confluence (Server) および Confluence (Data Center) アドバイザリ – WebDAV ならびに Widget Connector に関する脆弱性
アドバイザリ公開日
  • 2019 年 03 月 20 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Confluence (Server)
  • Confluence (Data Center)
影響を受けるバージョン
  • 1.x.x、2.x.x、3.x.x、4.x.x および 5.x.x のすべてのバージョン
  • 6.1.x、6.2.x、6.3.x、6.4.x、および 6.5.x のすべてのバージョン
  • 6.6.12 よりも前のすべての 6.6.x バージョン
  • 6.7.x、6.8.x、6.9.x、6.10.x、および 6.11.x のすべてのバージョン
  • 6.12.3 よりも前のすべての 6.12.x バージョン
  • 6.13.3 よりも前のすべての 6.13.x バージョン
  • 6.14.2 よりも前のすべての 6.14.x バージョン
修正済みバージョン
  • バージョン 6.6.12 およびそれ以降のバージョン 6.6.x
  • バージョン 6.12.3 およびそれ以降のバージョン 6.12.x
  • バージョン 6.13.3 およびそれ以降のバージョン 6.13.x
  • 6.14.2 以降のバージョン
CVE ID
  • CVE-2019-3395
  • CVE-2019-3396

脆弱性の概要

このアドバイザリでは、Confluence (Server) および Confluence (Data Center) に影響を及ぼす 重要度 “重大 (Critical)” である 2 件のセキュリティの脆弱性についてお知らせします。

バージョン 6.6.12、6.12.3、6.13.3、6.14.2、またはそれ以降の Confluence (Server) または Confluence (Data Center) にアップグレードしたユーザーは影響を受けません。

Confluence (Cloud) を使用しているユーザーは影響を受けません。

以下のバージョンの Confluence (Server) または Confluence (Data Center) をダウンロード/インストールしたユーザーは影響を受けます。

  • 1.x.x、2.x.x、3.x.x、4.x.x および 5.x.x のすべてのバージョン
  • 6.1.x、6.2.x、6.3.x、6.4.x、および 6.5.x のすべてのバージョン
  • 6.6.12 よりも前のすべての 6.6.x バージョン
  • 6.7.x、6.8.x、6.9.x、6.10.x、および 6.11.x のすべてのバージョン
  • 6.12.3 よりも前のすべての 6.12.x バージョン
  • 6.13.3 よりも前のすべての 6.13.x バージョン
  • 6.14.2 よりも前のすべての 6.14.x バージョン

直ちにお使いの Confluence (Server) または Confluence (Data Center) インストレーションのアップグレードを行い、この脆弱性に対応してください。

WebDAV に関する脆弱性 – CVE-2019-3395

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

2018 年 06 月 18 日よりも前にリリースされた Confluence (Server) および Confluence (Data Center) は今回の脆弱性の影響を受けます。リモートの攻撃者は、WebDAV プラグインに存在する Server-Side Request Forgery (SSRF) 脆弱性を悪用することで、Confluence (Server) または Confluence (Data Center) インスタンスから任意の HTTP ならびに WebDAV 要求を送信できます。

6.6.7 よりも前のバージョン、6.7.0 以降かつ 6.8.5 (6.8.x の修正バージョン) よりも前のバージョン、6.9.0 以降かつ 6.9.3 (6.9.x の修正バージョン) よりも前のバージョンのすべての Confluence (Server) および Confluence (Data Center) はこの脆弱性の影響を受けます。

この問題は CONFSERVER-57971 で管理されています。

謝辞

今回の脆弱性の発見は、Assetnote (https://assetnote.io ) の Shubham Shah 氏、および DEVCORE (https://devco.re ) の Orange Tsai 氏の功績です。

Widget Connector に関する脆弱性 – CVE-2019-3396

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

Confluence (Server) および Confluence (Data Center) の Widget Connector には、Server-Side Template Injection 脆弱性が存在します。攻撃者はこの問題を悪用することで、脆弱性を含むバージョンの Confluence (Server) または Confluence (Data Center) が稼働するシステム上でサーバーサイド テンプレート インジェクション、パス トラバーサル、ならびにリモート コード実行を行えます。

6.6.12 よりも前のバージョン、6.7.0 以降かつ 6.12.3 (6.12.x の修正バージョン) よりも前のバージョン、6.13.0 以降かつ 6.13.3 (6.13.x の修正バージョン) よりも前のバージョン、および 6.14.0 以降かつ 6.14.2 (6.14.x の修正バージョン) よりも前のバージョンのすべての Confluence (Server) および Confluence (Data Center) はこの脆弱性の影響を受けます。

この問題は CONFSERVER-57974 で管理されています。

謝辞

今回の脆弱性の発見は、Daniil Dmitriev 氏 (https://twitter.com/ddv_ua) の功績です。

修正

この問題に対応するためにアトラシアンは以下の手段を講じました。

取るべき対策

アトラシアンは最新バージョン (6.15.1) へのアップグレードを推奨します。Confluence (Server) および Confluence (Data Center) の最新バージョンの詳細については、「Confluence 6.15 リリース ノート 」を参照してください。Confluence の最新バージョンは ダウンロード センター からダウンロードできます。

最新バージョン (6.15.1) にアップグレードできない場合:

(1) 現在のフューチャー バージョン (2018 年 10 月 04 日以降にリリースされたフューチャー バージョン) をお使いの場合、その現在のフィーチャー バージョンの次の不具合修正バージョン にアップグレードしてください。

使用しているフューチャー バージョンアップグレード先となる不具合修正バージョン
6.12.0、6.12.1、6.12.26.12.3
6.14.0、6.14.16.14.2

(2) 現在のエンタープライズ リリース バージョン (2017 年 04 月 04 日以降にリリースされたエンタープライズ リリース バージョン) をお使いの場合、その現在のエンタープライズ リリース バージョンの最新バージョン にアップグレードしてください。

使用しているエンタープライズ リリース バージョンアップグレード先となる不具合修正バージョン
6.6.0、6.6.1、6.6.2、6.6.3、6.6.4、6.6.5、6.6.6、6.6.7、6.6.8、6.6.9、6.6.10、6.6.116.6.12
6.13.0、6.13.1、6.13.26.13.3

(3) 古いバージョン (2018 年 10 月 04 日よりも前にリリースされたフューチャー バージョン、もしくは 2017 年 04 月 04 日よりも前にリリースされたエンタープライズ リリース バージョン) をお使いの場合、最新バージョンの Confluence (Server) または Confluence (Data Center)、もしくは、最新バージョンのエンタープライズ リリース バージョン にアップグレードしてください。

使用しているフューチャー バージョンアップグレード先となる不具合修正バージョン
1.x.x
2.x.x
3.x.x
4.x.x
5.x.x
6.1.x、6.2.x、6.3.x、6.4.x、6.5.x
6.7.x、6.8.x、6.9.x、6.10.x、6.11.x
6.14.2
6.13.3
6.6.12

軽減策

Confluence をすぐにアップグレードできない場合の 一時的な回避策 として、アプリケーション ヘッダーの 歯車アイコン から [アプリ/アドオンの管理 (Manage apps / add-ons)] オプションを選択し、以下の Confluence システム プラグインを無効化してください。

  • WebDAV plugin
  • Widget Connector

Confluence をアップグレードした後、これらプラグインを最有効化します。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー バグ修正に関する、アトラシアンの SLA および保障内容です。
セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ