情報 | ||
---|---|---|
| ||
このページは、Atlassianの Confluence Security Advisory - 2019-08-28 翻訳した内容です。 |
...
このアドバイザリでは、 Confluence Server と Confluence Data Centerのバージョン6.1.0から6.6.16より前(修正バージョンは6.6.16)、6.7.0から6.13.7より前(修正バージョンは6.13.7)、6.14.0 から 6.15.8より前に(修正バージョンは6.15.8)含まれる重大な脆弱性について説明します。
...
Confluence Server and Data Centerのページエクスポート機能でローカルファイルを意図せずに公開する脆弱性があります。
スペースへのページを追加権限を有する攻撃者が、<install-directory>/confluence/WEB-INF ディレクトリにある他のサービスとの統合に関する任意の設定ファイル(情報の漏洩となる資格情報、LDAPなどの資格情報、そのほかセンシティブな情報)を読むことができます。このLDAP資格情報がatlassian-user.xmlファイルで指定されている、LDAP資格情報が漏洩する可能性があります。これは、LDAP統合を構成するための非推奨な方法です。
...
今回の脆弱性はバージョン6.1.0から6.6.16より前(修正バージョンは6.6.16)、6.7.0から6.13.7より前(修正バージョンは6.13.7)、6.14.0 から 6.15.8より前に(修正バージョンは6.15.8)に影響があります。
...
すぐにConfluenceをアップグレードできない場合は、一時的な対応策として atlassian.confluence.export.word.max.embedded.images システムプロパティ を編集します。 このパラメータを編集して、wordファイルへの画像出力数を変更します。ゼロに変更することで、wordファイルへの画像出力がされなくなります。
...
展開 | ||
---|---|---|
| ||
Configuringシステムプロパティ ではよりシステムプロパティの詳細を確認することができます。 |
展開 | |||||
---|---|---|---|---|---|
| |||||
|
...
展開 | |||||||
---|---|---|---|---|---|---|---|
| |||||||
|
クイックスタートテンプレートを使用して、またはWindowsサービスとしてAWSでConfluenceを実行するときにシステムプロパティを反映する方法の詳細については、システムプロパティの設定を参照してください。
緩和策反映の確認方法
以下の手順で回避策が正しく適用されたことを確認します。:
...