Confluence Security Advisory - 2019-12-18 - Atlassian Companion Man-in-the-Middle - CVE-2019-15006 |
要約 | CVE-2019-15006 - Atlassian Companion Man-in-the-Middle |
---|---|
アドバイザリのリリース日 | 10:00 AM PST (Pacific Time, -7 hours) |
対象製品 |
|
影響する Confluence バージョン |
|
Fixed Confluence Server Versions |
|
CVE ID(s) | CVE-2019-15006 |
このアドバイザリは、Confluence Server/ Confluence Data Center の ver.6.11.0 で導入された機能の medium な深刻度 のセキュリティ脆弱性を発表します。
Confluence Server/ Confluence Data Centerの 以下のバージョンがこの脆弱性の影響を受けます:
Atlassian Cloud インスタンスは、このページに記載されている脆弱性がない Confluence へ 既にアップグレードしています。 |
Confluence Server / Confluence Data Center を 6.13.10, 6.15.10, 7.0.5, 7.1.2, 7.2.0以上 へアップグレードしたお客様は影響を受けません。 |
上記の影響バージョンを利用しているお客様は、この脆弱性を対処するためにただちに Confluence Server / Confluence Data Center をアップグレードしてください。 |
Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を moderate と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
Confluence Server / Confluence Data Center の Confluence Previews pluginにman-in-the-middle (MITM) の脆弱性があります。このプラグインは、Atlassian Companion アプリケーションとの通信を容易にするため利用されていました。Confluence Server / Confluence Data Center の Confluence Previews pluginは、Companion アプリケーションへ atlassian-domain-for-localhost-connections-only.com というドメイン名 と 127.0.0.1を関連づける DNS Aレコードを経由して通信していました。また、ドメインの署名済み証明書は、Companion アプリケーションとともに公開されていました。 ユーザー(クライアント)側のDNSの名前解決を制御できる立場にいる攻撃者は、Confluence Server (Confluence Data Center) とCompanion アプリケーションで使用する目的の atlassian-domain-for-localhost-connections-only.com ドメインの間で man-in-the-middle(中間者攻撃)を実行できます。この証明書は失効になっても、atlassian-domain-for-localhost-connections-only.comドメイン名は、Confluence Server / Confluence Data Centerでまだ利用している状態になります。攻撃者は、証明書の失効情報へのアクセスを拒否することで、説明にある攻撃を実行でき、また、Companion アプリケーションを使用して編集中のファイルを観察したり、それらを変更したり、限定されたユーザー情報へアクセスするような中間者攻撃(MITM)を実行する可能性があります。
この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/CONFSERVER-59244
Confluence Server / Confluence Data Center の 6.11.0 - 6.13.9、6.14.0 - 6.15.9、7.0.1 - 7.0.4、7.1.0 - 7.1.1 、7.2.0-beta1がこの脆弱性の影響を受けます。
Confluence Server (Data Center) をただちにアップグレードできない場合、もしくは Confluence Cloudへの移行 ができない場合、一時的な緩和策として、Confluence Previews pluginを手動でアップグレードするか、Confluence Previews plugin のCompanion App integrationを無効化するかで対応します。
Confluence が 6.13 以降の場合, 手動でプラグインをアップグレードする
Confluence Previews pluginをアップグレードするには:
以下の表より、あなたのConfluenceのバージョンに合った Confluence Previews plugin のバージョンをダウンロードします。
Confluence 画面左上の > Manage apps (アプリの管理)をクリックします。
アプリをアップロード を選択し、以下リンクの手順に従ってプラグインを手動でインストールします。
詳細は、 Marketplace アプリのインストール - ファイル アップロードでインストールする をご確認ください。
Confluence version | Confluence Previews plugin version with fix |
---|---|
Confluence 7.1.x | |
Confluence 7.0.x | |
Confluence 6.15.x | |
Confluence 6.14.x | confluence-previews-8.0.7 |
Confluence 6.13.x (Enterprise release) |
プラグインが正常にアップデートされたか確認するには、 > アプリの管理 より、" Confluence Previews plugin" を検索し、リストを拡張して、バージョン番号が上記のリストのあなたのConfluenceに対応したプラグインバージョンと一致しているかを確認してください。
Confluence 6.11 か 6.12を利用時は, Companion App integration を無効化する
"Edit with" を機能的に無効化する方法です。 Atlassian Companion App integrationを無効化にするには:
ADCClient AMD Wrapper (companion-client-wrapper)
Edit With button (companion-plugin-button)
Templates for Edit With feature (companion-plugin-templates)
Companion App integration が正常に無効化されたか確認するには、ページにファイルを挿入し、ページへアクセスしてファイルのサムネイルをクリックします。そこで、プレビューが表示されますが、“Edit with” メニューは表示されなくなります。
Atlassianは、この問題に対処するためにConfluence Server の次のバージョンをリリースしました。
7.1.2 https://www.atlassian.com/software/confluence/download-archives
7.0.5 https://www.atlassian.com/software/confluence/download-archives
6.15.10 https://www.atlassian.com/software/confluence/download-archives
6.13.10 https://www.atlassian.com/software/confluence/download-archives
Atlassianは、この問題に対処するためにConfluence DataCenter の次のバージョンをリリースしました。
7.1.2 https://www.atlassian.com/software/confluence/download-archives
7.0.5 https://www.atlassian.com/software/confluence/download-archives
6.15.10 https://www.atlassian.com/software/confluence/download-archives
6.13.10 https://www.atlassian.com/software/confluence/download-archives
Atlassian は、最新のエンタープライズリリースバージョンの 6.13.10 か 最新バージョンへアップグレードすることを推奨しています。Confluence Server / Confluence Data Center の最新バージョンの詳細説明は、Release Notes をご確認ください。download center から Confluence Server /Data Centerの最新のエンタープライズリリースバージョンをダウンロードできます。
Confluence Server / Confluence Data Centerの修正バージョンへアップグレードしてください。
(1) 現在の エンタープライズリリース バージョン (2017年12月18日以降にリリースされたエンタープライズリリースバージョン) もしくは 旧バージョン (2018年12月2日前にリリースされた)の場合、 最新のエンタープライズリリースバージョン(6.13.10)へアップグレードしてください。
以下のバージョンの場合… | …以下のエンタープライズリリースバージョンへアップグレードする: |
---|---|
6.13.x 6.12.x 6.11.x | 6.13.10 (推奨) |
(2) 現在のフィーチャーバージョン (2019年6月18日以降にリリースされたフィーチャーバージョン)の場合、現在利用しているフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。
以下のバージョンの場合… | …以下のバグフィックスバージョンへアップグレードする: |
---|---|
7.1.x | 7.1.2 |
7.0.x | 7.0.5 |
6.15.x | 6.15.10 |
(3) 旧バージョン ( 2019年6月18日以前のリリースのフィーチャーバージョン) の場合、エンタープライズリリースバージョンへ アップグレードできないため、以下のいずれかのバージョンへアップグレードしてください。
以下のバージョンの場合… | …以下のいずれかのバージョンへアップグレードする: |
---|---|
6.14.x | 6.15.10 7.0.5 7.1.2 7.2.0 |