比較バージョン

古いバージョン 4

changes.mady.by.user Hanayo Minamisawa [Ricksoft]

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Hanayo Minamisawa [Ricksoft]

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。


情報
titleAtlassian 社のセキュリティアドバイザリ

Confluence Security Advisory - 2019-12-18 - Atlassian Companion Man-in-the-Middle - CVE-2019-15006

...

Confluence Server / Confluence Data Center の Confluence Previews pluginにman-in-the-middle (MITM) の脆弱性があります。このプラグインは、Atlassian Companion アプリケーションとの通信を容易にするため利用されていました。Confluence Server / Confluence Data Center の Confluence Previews pluginは、Companion アプリケーションへ atlassian-domain-for-localhost-connections-only.com というドメイン名 と 127.0.0.1を関連づける DNS Aレコードを経由して通信していました。また、ドメインの署名済み証明書は、Companion アプリケーションとともに公開されていました。 ユーザー(クライアント)側のDNSの名前解決を制御できる立場にいる攻撃者は、Confluence Server (Confluence Data Center) とCompanion アプリケーションで使用する目的の atlassian-domain-for-localhost-connections-only.com ドメインの間で man-in-the-middle(中間者攻撃)を実行できます。この証明書は失効になっても、atlassian-domain-for-localhost-connections-only.comドメイン名は、Confluence Server / Confluence Data Centerでまだ利用している状態になります。攻撃者は、証明書の失効情報へのアクセスを拒否することで、説明にある攻撃を実行でき、また、Companion アプリケーションを使用して編集中のファイルを観察したり、それらを変更したり、限定されたユーザー情報へアクセスするような中間者攻撃(MITM)を実行する可能性があります。

この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/CONFSERVER-59244

Confluence Server / Confluence Data Center の 6.11.0 - 6.13.9、6.14.0 - 6.15.9、7.0.1 - 7.0.4、7.1.0 - 7.1.1 、7.2.0-beta1がこの脆弱性の影響を受けます。

緩和策

Confluence Server (Data Center) をただちにアップグレードできない場合、もしくはConfluence Cloudへの移行 ができない場合、一時的な緩和策として、Confluence Previews pluginを手動でアップグレードするか、Confluence Previews plugin のCompanion App integrationを無効化するかで対応します。

...


Atlassianは、この問題に対処するためにConfluence DataCenter の次のバージョンをリリースしました。

あなたにしてほしいこと

Atlassian は、最新のエンタープライズリリースバージョンの 6.13.10 最新バージョンへアップグレードすることを推奨しています。Confluence Server / Confluence Data Center の最新バージョンの詳細説明は、Release Notes をご確認ください。download center から Confluence Server /Data Centerの最新のエンタープライズリリースバージョンをダウンロードできます。 

...