|
Confluence Security Advisory - 2019-04-17: Confluence - Path traversal vulnerability - CVE-2019-3398 |
2014年9月以降、バグフィックス用のパッチは発行されていません。代わりに、バグフィックスを含む新しいバージョンをリリースします。 |
Summary |
|
---|---|
Advisory Release Date | 10:00 AM PDT (Pacific Time, -7 hours) |
Products |
|
Affected Versions |
|
Fixed Versions |
|
CVE ID(s) |
|
このアドバイザリでは、 Confluence Server と Confluence Data Centerに含まれる重大な脆弱性について説明します。
ver.2.0.0以降からver. 6.6.13(ver.6.6.xの修正バージョン)より前 、ver.6.7.0から 6.12.4(ver.6.12.xの修正バージョン)より前、ver.6.13.0から 6.13.4(ver.6.13.xの修正バージョン)より前、ver.6.14.0から 6.14.3(ver.6.14.xの修正バージョン)より前、ver.6.15.0から 6.15.2(ver.6.15.xの修正バージョン)より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。
以下のConfluence Server やData Centerバージョンをダウンロードしてインストールしているお客様は影響を受けます:
脆弱性を修正するために、ただちにConfluence Server やData Centerをアップグレードしてください。 |
Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
Confluence Server と Confluence Data Center は、downloadallattachments (添付ファイルを全てダウンロード)のリソースに、パス・トラバーサルの脆弱性があります。
ページ・ブログに添付ファイルのアップロード、新規スペース作成・パーソナルスペース作成、またはスペース管理者の、何れかの権限を持つ外部の攻撃者は、パス・トラバーサルの脆弱性を突いて、サーバ内の任意の場所にファイルを作成できます。また、これを利用して、脆弱性があるバージョンのConfluence Server と Confluence Data Center へリモートから任意のコードを実行する可能性があります。
ver.2.0.0以降からver. 6.6.13(ver.6.6.xの修正バージョン)より前 、ver.6.7.0から 6.12.4(ver.6.12.xの修正バージョン)より前、ver.6.13.0から 6.13.4(ver.6.13.xの修正バージョン)より前、ver.6.14.0から 6.14.3(ver.6.14.xの修正バージョン)より前、ver.6.15.0から 6.15.2(ver.6.15.xの修正バージョン)より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。
この問題はこの課題で追跡できます。: https://jira.atlassian.com/browse/CONFSERVER-58102 CLOSED
この脆弱性は、IT Centr のJānis Krusts により発見されました。
Atlassian社はこの問題に対処するため以下の対策を施しました。
この脆弱性によって、リックソフトが添付ファイル一括ダウンロード時に日本語の文字化け対策として提供しているアドオンにも影響があることが判明しております。 このアドオンへも対処方法を行う必要があります。 詳細と対処方法は、以下のリンクを参照ください。 |
Atlassianは、Confluence最新版 (6.15.2)へアップグレードを推奨します。Confluence Serverの最新バージョンの詳細の説明については、リリースノート をご確認ください。Confluence Serverの最新バージョンは、AtlassianのWebサイト からダウンロードできます。
(1) ご利用バージョンが 新しい feature release version (2018/10/4以降リリース) の場合は、 現在の feature release versionの 次の バグフィックスバージョンへアップグレードしてください。
以下の feature release versionを利用している場合は... | …以下のバグフィックスバージョンへアップグレードする: |
---|---|
6.12.0, 6.12.1, 6.12.2, 6.12.3 | 6.12.4 |
6.13.0, 6.13.1, 6.13.2, 6.13.3 | 6.13.4 |
6.14.0, 6.14.1, 6.14.2 | 6.14.3 |
(2) ご利用バージョンが enterprise release version (2017/4/4以降リリースのenterprise release version) の場合は、ご利用のenterprise release versionの最新版へアップグレードしてください。
以下の enterprise release versionを利用している場合は... | …以下のバージョンへアップグレードする: |
---|---|
6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11, 6.6.12 | 6.6.13 |
6.13.0, 6.13.1, 6.13.2, 6.13.3 | 6.13.4 |
(3) 古いバージョン(2018/10/4以前のfeature release version や 2017/4/4以前のenterprise release version)をご利用の場合は、Confluence Server (Data Center)の最新バージョンか、enterprise release版の最新バージョンへアップグレードしてください。
以下の 古いバージョンを利用している場合は… | …以下のいずれかにアップグレードする: |
---|---|
1.x.x 2.x.x 3.x.x 4.x.x 5.x.x 6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x 6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x | 6.15.2 6.14.3 6.13.4 6.6.13 |
近々にアップグレードいただけない場合は、一時的な回避策として、下記URLを無効化していただくことが出来ます。
|
この回避策により、添付ファイルの一覧ページ、および添付ファイルマクロから「全てダウンロード」は使用不可となりますが、各添付ファイルの個々のダウンロードは可能です。
以下の手順で「全てダウンロード」を無効化いただくことが出来ます。
<host> タグ内に下記を追加します。
|
コンテキストパスを指定されている場合(例:/wiki)は、下記のようにコンテキストパスを含めてください。
|
下記の手順をお試しください。
正しく適用されている場合は、404(ページが見つかりません)のエラーが表示され、ダウンロードは行われません
もしこのアドバイザリのメールが届かなく、今後メールの受け取りを希望する場合は、https://my.atlassian.com/email より Alerts emailを購読してください。