比較バージョン

古いバージョン 4

changes.mady.by.user Hanayo Minamisawa [Ricksoft]

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Hanayo Minamisawa [Ricksoft]

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。



情報
titleAtlassian 社のセキュリティアドバイザリ

このページは、Atlassianの Confluence Security Advisory - 2019-08-28 翻訳した内容です。

...

このアドバイザリでは、 Confluence Server と Confluence Data Centerのバージョン6.1.0から6.6.16より前(修正バージョンは6.6.16)、6.7.0から6.13.7より前(修正バージョンは6.13.7)6.14.0 から 6.15.8より前(修正バージョンは6.15.8)含まれる重大な脆弱性について説明します。

...

Confluence Server and Data Centerのページエクスポート機能でローカルファイルを意図せずに公開する脆弱性があります。

スペースへのページを追加権限を有する攻撃者が、<install-directory>/confluence/WEB-INF ディレクトリにある他のサービスとの統合に関する任意の設定ファイル(情報の漏洩となる資格情報、LDAPなどの資格情報、そのほかセンシティブな情報)を読むことができます。このLDAP資格情報がatlassian-user.xmlファイルで指定されている、LDAP資格情報が漏洩する可能性があります。これは、LDAP統合を構成するための非推奨な方法です。

...

今回の脆弱性はバージョン6.1.0から6.6.16より前(修正バージョンは6.6.16)、6.7.0から6.13.7より前(修正バージョンは6.13.7)6.14.0 から 6.15.8より前(修正バージョンは6.15.8)に影響があります。  

...

すぐにConfluenceをアップグレードできない場合は、一時的な対応策として atlassian.confluence.export.word.max.embedded.images システムプロパティ を編集します。 このパラメータを編集して、wordファイルへの画像出力数を変更します。ゼロに変更することで、wordファイルへの画像出力がされなくなります。

...

展開
titleWindowsサービスでConfluenceが起動している場合
  1. Windowsの「サービス」へ進み、Confluenceのサービスを見つけます。"Atlassian Confluence Confluence12345678"といった名前です。
  2. Confluenceサービスをダブルクリックし、サービス名を控えます。"Confluence12345678"といった名前です。

  3. コマンドプロンプトを開き cd コマンドで <install-directory>\bin フォルダへ移動します。

  4. 以下のコマンドを実行し、以下のコマンドを実行します。”SERVICENAME”は、2で控えたサービス名へ置き換えてください

    tomcat9w //ES//SERVICENAME

    TomcatのバージョンはConfluenceのバージョンによって異なることにご注意ください。<install-directory>/bin内にあるTomcatのファイルの名前でバージョンをチェックできます。(おそらくtomcat8w.exeかtomcat9w.exeになります)

  5. 「サービス」ダイアログ画面が表示されますので、「Java」タブを選択します。

  6. 「Java Options:」フィールドへ次の行を追加します。

    -Datlassian.confluence.export.word.max.embedded.images=0


  7. 変更を保存し、Confluenceサービスを再起動します。再起動後変更が反映されているかを確認します。

Configuringシステムプロパティ ではよりシステムプロパティの詳細を確認することができます。


展開
titleWindowsで手動で起動している場合

  1. Confluenceを停止します。

  2. <install-directory>\bin\setenv.batファイルを開きます。

  3. CATALINA_OPTS の項目を確認し、次の行を追加します。

    コード ブロック
    languagebash
    set CATALINA_OPTS=-Datlassian.confluence.export.word.max.embedded.images=0


  4. setenv.batファイルを保存し、Confluenceを起動します。

...

展開
titleLinuxで手動起動している場合


展開

  1. Confluenceを停止します。

  2. <install-directory>/bin/setenv.sh を開きます。

  3. CATALINA_OPTSの項目を確認し、次の行を追加します。

    コード ブロック
    languagebash
    CATALINA_OPTS="-Datlassian.confluence.export.word.max.embedded.images=0 ${CATALINA_OPTS}"


  4. setenv.shを保存し、Confluenceを起動します。



クイックスタートテンプレートを使用して、またはWindowsサービスとしてAWSでConfluenceを実行するときにシステムプロパティを反映する方法の詳細については、システムプロパティの設定を参照してください。

緩和策反映の確認方法

以下の手順で回避策が正しく適用されたことを確認します。:

...