- バージョン 6.6.12, 6.12.3, 6.13.3, 6.14.2 へアップグレードした Confluence Server や Data Center の場合は影響をうけません。
Confluence Cloud を利用しているお客様へは影響はありません。
Atlassian社のセキュリティアドバイザリ
詳細情報
注意
2014年9月以降、バグフィックス用のパッチは発行されていません。代わりに、バグフィックスを含む新しいバージョンをリリースします。
Summary |
Confluence Server - WebDAV and Widget Connector Vulnerabilities |
---|---|
Advisory Release Date | 10:00 AM PDT (Pacific Time, -7 hours) |
Products |
|
Affected Versions |
|
Fixed Versions |
|
CVE ID(s) |
|
脆弱性の概要
このアドバイザリでは、 Confluence Server と Confluence Data Centerに含まれる2つの重大な脆弱性について説明します。
以下のConfluence Server やData Centerバージョンをダウンロードしてインストールしているお客様は影響を受けます:
1.x.x, 2.x.x, 3.x.x, 4.x.x 5.x.x
6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x すべて
6. 6.12より前のすべての 6.6.x
6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x すべて
6.12.3より前の 6.12.xすべて
6.13.3より前の 6.13.xすべて
6.14.2より前の 6.14.xすべて
脆弱性を修正するために、ただちにConfluence Server やData Centerをアップグレードしてください。
WebDAV vulnerability (CVE-2019-3395) について
重大度
Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
説明
2018/6/18以前にリリースされた Confluence Server と Data Center のバージョンは、この脆弱性(CVE-2019-3395)の影響をうけます。リモートの攻撃者が、WebDAV pluginを経由してサーバーサイドのリクエスト偽造(SSRF)の脆弱性を利用し、 Confluence Server や Data Centerのインスタンスから任意のHTTPやWebDAVリクエストを送信できます。
ver. 6.6.7より前のすべて、ver.6.7.0から 6.8.5より前、ver.6.9.0から 6.9.3より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。
この問題はこの課題で追跡できます。: https://jira.atlassian.com/browse/CONFSERVER-57971 CLOSEDCLOSED
謝辞
この脆弱性は、Assetnote (https://assetnote.io)社のShubham Shahと DEVCORE (https://devco.re)のOrange Tsai により発見されました。
Widget Connector vulnerability (CVE-2019-3396) について
重大度
Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
説明
2019/3/7以前にリリースされた Confluence Server と Data Center のバージョンは、この脆弱性(CVE-2019-3396)の影響をうけます。 Confluence Server とConfluence Data Centerで、Widget Connector を経由した 引数インジェクションの脆弱性があります。攻撃者がこの問題を悪用して、 Confluence Server や Data Centerのインスタンス上で サーバーサイドのテンプレートのインジェクション、ディレクトリトラバーサル(アクセス禁止のディレクトリや移動する)や リモートコードの実行を達成できます。
ver. 6.6.12より前のすべて、ver.6.7.0から 6.12.3より前、ver.6.13.0から 6.13.13より前、ver.6.14.0から 6.14.2より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。
この問題はこの課題で追跡できます。: https://jira.atlassian.com/browse/CONFSERVER-57974 CLOSED
謝辞
この脆弱性は、Daniil Dmitriev (https://twitter.com/ddv_ua)によって発見されました。
修正
Atlassian社はこの問題に対処するため以下の対策を施しました。
- これらの問題の修正を含む Confluence Server / Data Center ver.6.15.1をリリースしました。これは https://www.atlassian.com/software/confluence/download/ と https://atlassian.com/software/confluence/download/data-center からダウンロードできます。
- これらの問題の修正を含む Confluence Server / Data Center ver. 6.6.12, 6.12.3, 6.13.3 6.14.2 をリリースしました。これらは https://www.atlassian.com/software/confluence/download-archives からダウンロードできます。
あなたにしてほしいこと
Atlassianは、Confluence最新版 (6.14.2)へアップグレードを推奨します。Confluence Serverの最新バージョンの詳細の説明については、リリースノート をご確認ください。Confluence Serverの最新バージョンは、AtlassianのWebサイト からダウンロードできます。
最新バージョン(6.14.2)へアップグレードできない場合は:
(1) ご利用バージョンが 新しい feature release version (2018/10/2以降リリース) の場合は、 現在の feature release versionの 次の バグフィックスバージョンへアップグレードしてください。
以下の feature release versionを利用している場合は... | …以下のバグフィックスバージョンへアップグレードする: |
---|---|
6.12.0, 6.12.1, 6.12.2 | 6.12.3 |
6.14.0, 6.14.1 | 6.14.2 |
(2) ご利用バージョンが enterprise release version (2017/12/12以降リリースのenterprise release version) の場合は、ご利用のenterprise release versionの最新版へアップグレードしてください。
以下の enterprise release versionを利用している場合は... | …以下のバージョンへアップグレードする: |
---|---|
6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11 | 6.6.12 |
6.13.0, 6.13.1, 6.13.2 | 6.13.3 |
(3) 古いバージョン(2018/10/2以前のfeature release version や 2017/12/12以前のenterprise release version)をご利用の場合は、Confluence Server (Data Center)の最新バージョンか、enterprise release版の最新バージョンへアップグレードしてください。
以下の 古いバージョンを利用している場合は… | …以下のいずれかにアップグレードする: |
---|---|
1.x.x 2.x.x 3.x.x 4.x.x 5.x.x 6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x 6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x | 6.14.2 6.13.3 6.6.12 |
緩和策
すぐにConfluenceのアップグレードができない場合は、一時的な対応策として、
> アプリ(アドオン)の管理 より、以下のConfluecneのシステムプラグインを無効にします。- WebDAV plugin
- Widget Connector
Confluenceをアップグレード後に、これらのプラグインを再有効化します。
サポート
もしこのアドバイザリのメールが届かなく、今後メールの受け取りを希望する場合は、https://my.atlassian.com/email より Alerts emailを購読してください。