詳細情報

注意

2014年9月以降、バグフィックス用のパッチは発行されていません。代わりに、バグフィックスを含む新しいバージョンをリリースします。

Summary	CVE-2019-3395 CVE-2019-3396 Confluence Server - WebDAV and Widget Connector Vulnerabilities
Advisory Release Date	2019/03/20 10:00 AM PDT (Pacific Time, -7 hours)
Products	Confluence Server Confluence Data Center
Affected Versions	1.x.x, 2.x.x, 3.x.x, 4.x.x 5.x.x 6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x すべて 6. 6.12より前のすべての 6.6.x 6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x すべて 6.12.3より前の 6.12.xすべて 6.13.3より前の 6.13.xすべて 6.14.2より前の 6.14.xすべて
Fixed Versions	6. 6.12 以降の 6. 6. x 6.12.3 以降の 6.12.x 6.13.3 以降の 6.13.x 6.14.2 以降の 6.14.x
CVE ID(s)	CVE-2019-3395 CVE-2019-3396

脆弱性の概要

このアドバイザリでは、 Confluence Server と Confluence Data Centerに含まれる２つの重大な脆弱性について説明します。

以下のConfluence Server やData Centerバージョンをダウンロードしてインストールしているお客様は影響を受けます：

1.x.x, 2.x.x, 3.x.x, 4.x.x 5.x.x
6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x すべて
6. 6.12より前のすべての 6.6.x
6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x すべて
6.12.3より前の 6.12.xすべて
6.13.3より前の 6.13.xすべて
6.14.2より前の 6.14.xすべて

脆弱性を修正するために、ただちにConfluence Server やData Centerをアップグレードしてください。

WebDAV vulnerability (CVE-2019-3395) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル（critical）と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

2018/6/18以前にリリースされた Confluence Server と Data Center のバージョンは、この脆弱性(CVE-2019-3395)の影響をうけます。リモートの攻撃者が、WebDAV pluginを経由してサーバーサイドのリクエスト偽造（SSRF）の脆弱性を利用し、　 Confluence Server や Data Centerのインスタンスから任意のHTTPやWebDAVリクエストを送信できます。

ver. 6.6.7より前のすべて、ver.6.7.0から 6.8.5より前、ver.6.9.0から 6.9.3より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。

この問題はこの課題で追跡できます。： https://jira.atlassian.com/browse/CONFSERVER-57971　CLOSEDCLOSED

謝辞

この脆弱性は、Assetnote (https://assetnote.io)社のShubham Shahと DEVCORE (https://devco.re)のOrange Tsai により発見されました。

Widget Connector vulnerability (CVE-2019-3396) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル（critical）と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

2019/3/7以前にリリースされた Confluence Server と Data Center のバージョンは、この脆弱性(CVE-2019-3396)の影響をうけます。 Confluence Server とConfluence Data Centerで、Widget Connector を経由した引数インジェクションの脆弱性があります。攻撃者がこの問題を悪用して、 Confluence Server や Data Centerのインスタンス上で　サーバーサイドのテンプレートのインジェクション、ディレクトリトラバーサル(アクセス禁止のディレクトリや移動する)やリモートコードの実行を達成できます。

ver. 6.6.12より前のすべて、ver.6.7.0から 6.12.3より前、ver.6.13.0から 6.13.13より前、ver.6.14.0から 6.14.2より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。

この問題はこの課題で追跡できます。: https://jira.atlassian.com/browse/CONFSERVER-57974　　CLOSED

謝辞

この脆弱性は、Daniil Dmitriev (https://twitter.com/ddv_ua)によって発見されました。

修正

Atlassian社はこの問題に対処するため以下の対策を施しました。

これらの問題の修正を含む Confluence Server / Data Center ver.6.15.1をリリースしました。これは https://www.atlassian.com/software/confluence/download/ と https://atlassian.com/software/confluence/download/data-center からダウンロードできます。
これらの問題の修正を含む Confluence Server / Data Center ver. 6.6.12, 6.12.3, 6.13.3 6.14.2 をリリースしました。これらは https://www.atlassian.com/software/confluence/download-archives からダウンロードできます。

あなたにしてほしいこと

Atlassianは、Confluence最新版 (6.14.2)へアップグレードを推奨します。Confluence Serverの最新バージョンの詳細の説明については、リリースノートをご確認ください。Confluence Serverの最新バージョンは、AtlassianのWebサイトからダウンロードできます。

最新バージョン(6.14.2)へアップグレードできない場合は:

(1) ご利用バージョンが新しい feature release version (2018/10/2以降リリース) の場合は、 現在の feature release versionの次のバグフィックスバージョンへアップグレードしてください。

以下の feature release versionを利用している場合は...	…以下のバグフィックスバージョンへアップグレードする：
6.12.0, 6.12.1, 6.12.2	6.12.3
6.14.0, 6.14.1	6.14.2

(2) ご利用バージョンが enterprise release version (2017/12/12以降リリースのenterprise release version) の場合は、ご利用のenterprise release versionの最新版へアップグレードしてください。　

以下の enterprise release versionを利用している場合は...	…以下のバージョンへアップグレードする：
6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11	6.6.12
6.13.0, 6.13.1, 6.13.2	6.13.3

(3) 古いバージョン（2018/10/2以前のfeature release version や 2017/12/12以前のenterprise release version）をご利用の場合は、Confluence Server (Data Center)の最新バージョンか、enterprise release版の最新バージョンへアップグレードしてください。

以下の古いバージョンを利用している場合は…

…以下のいずれかにアップグレードする：

1.x.x

2.x.x

3.x.x

4.x.x

5.x.x

6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x

6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x

6.14.2

6.13.3

6.6.12

緩和策

すぐにConfluenceのアップグレードができない場合は、一時的な対応策として、 > アプリ（アドオン）の管理より、以下のConfluecneのシステムプラグインを無効にします。

WebDAV plugin
Widget Connector

Confluenceをアップグレード後に、これらのプラグインを再有効化します。

サポート

もしこのアドバイザリのメールが届かなく、今後メールの受け取りを希望する場合は、https://my.atlassian.com/email より Alerts emailを購読してください。

サポートされていないブラウザーです