ScriptRunner for Confluence Security Advisory 2020-02-19 日本語訳
- Hanayo Minamisawa [Ricksoft]
この記事は、2020年2月19日に Adaptavist 社から配信された 件名「 [SECURITY ADVISORY] Critical Vulnerability and Fix for ScriptRunner for Confluence」のメールを日本語翻訳しています。
ScriptRunner for Confluenceのクリティカルな脆弱性について
以下、 ScriptRunner for Confluence Server/Data Center の最近発見したセキュリティ脆弱性をお知らせします。
セキュリティ脆弱性の対象製品バージョン
本脆弱性は、 ScriptRunner for Confluence の ver.5.1.7 から 5.6.15 までのすべてのバージョンに影響します。
本脆弱性について
リモートコードを実行できる脆弱性があります。悪意のある認証済のConfluenceユーザーは、脆弱性を悪用して、Confluenceインスタンス内で任意のコードを実行できます。
この脆弱性は、アトラシアンの Atlassian's Security Levels for Security Issues に従って Critical と評価され、ソースコードの内部セキュリティ監査の一部として特定されました。アプリ(アドオン)ベンダーのAdaptavist社 は、この問題を認識した後、ただちにこの欠陥を修正しました。
調査によりますと、この脆弱性が悪用された事例はまだございません。本脆弱性については、右記の課題で追跡できます。:https://productsupport.adaptavist.com/browse/SRCONF-1097
脆弱性を修正するには
Confluence 6.6.0 - 7.0.x をご利用の場合
ScriptRunner for Confluence をただちに ver.5.6.16 以上へアップグレードしてください。
Confluence 7.1.x 以上をご利用の場合
ScriptRunner for Confluence をただちに ver.5.6.16.1-p5 以上へアップグレードしてください。
緩和策
ScriptRunner for Confluence を直ちにアップグレードすることを強く推奨します。Script Runner for Confluence をすぐにアップグレードできない場合は、一時的な解決策として以下の緩和策を利用してください。
ただちにアップグレードできない場合は、<base_url>/rest/scriptrunner-confluence/*/space_admin/ で始まるHTTPリクエストをブロックすることで、脆弱性を緩和します。
緩和策が正しく適用されたか確認するには、<base_url>/rest/scriptrunner-confluence/*/space_admin/ へのリクエストが拒否されるかチェックしてください。
以下は、リバースプロキシでScriptrunner Remote Eventsのエンドポイントへのリクエストをブロックすることにより、緩和策を適用する方法のApacheとTomcatでの例になります。
Adaptavist サポートはリバースプロキシの設定についてはサポートしません。そのため、以下の例を提供しますが、サポートや書面にしての保証や、黙示的な保証もしません。
緩和策が正しく適用されていることを確認するには、<base_url> / rest / scriptrunner-confluence / * / space_admin /への要求が拒否されていることを確認してください。
Apache HTTPD Reverse Proxy
Apache 2.4 Syntax
Atlassianアプリケーションにプロキシしているバーチャルホストに含まれる .conf ファイルへ 以下を追加します。その後、設定反映のため、Apacheを再起動してください。
<LocationMatch "/rest/scriptrunner-confluence/.*/space_admin/.*">
Require all denied
</LocationMatch>
例:
<VirtualHost *:80>
ServerName confluence.example.com
ProxyRequests Off
ProxyVia Off
<Proxy *>
Require all granted
</Proxy>
ProxyPass /confluence http://ipaddress:8080/confluence
ProxyPassReverse /confluence http://ipaddress:8080/confluence
<LocationMatch "/rest/scriptrunner-confluence/.*/space_admin/.*">
Require all denied
</LocationMatch>
</VirtualHost>
Apache 2.2 Syntax
Atlassianアプリケーションにプロキシしているバーチャルホストに含まれる .conf ファイルへ 以下を追加します。その後、設定反映のため、Apacheを再起動してください。
<LocationMatch "/rest/scriptrunner-confluence/.*/space_admin/.*">
Order Allow,Deny
Deny from all
</LocationMatch>
例:
<VirtualHost *:80>
ServerName confluence.example.com
ProxyRequests Off
ProxyVia Off
<Proxy *>
Require all granted
</Proxy>
ProxyPass /confluence http://ipaddress:8080/confluence
ProxyPassReverse /confluence http://ipaddress:8080/confluence
<LocationMatch "/rest/scriptrunner-confluence/.*/space_admin/.*">
Order Allow,Deny
Deny from all
</LocationMatch>
</VirtualHost>
Tomcat urlrewrite.xml
/rest/scriptrunner-confluence/.*/space_admin/.* へのリクエストを安全なURLへリダイレクトします。
[confluence-installation-directory]/atlassian-confluence/WEB-INF/urlrewrite.xml の <urlrewrite> セクションに以下を追加します。<rule> <from>/rest/scriptrunner-confluence/.*/space_admin/.*</from> <to type="temporary-redirect">/</to> </rule>
urlrewrite.xml を保存します。Atlassian アプリケーションを再起動します。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ