詳細情報

脆弱性の概要

このアドバイザリでは、 Confluence Server と Confluence Data Centerに含まれる２つの重大な脆弱性について説明します。

WebDAV vulnerability (CVE-2019-3395) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル（critical）と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

2018/6/18以前にリリースされた Confluence Server と Data Center のバージョンは、この脆弱性(CVE-2019-3395)の影響をうけます。リモートの攻撃者が、WebDAV pluginを経由してサーバーサイドのリクエスト偽造（SSRF）の脆弱性を利用し、　 Confluence Server や Data Centerのインスタンスから任意のHTTPやWebDAVリクエストを送信できます。

ver. 6.6.7より前のすべて、ver.6.7.0から 6.8.5より前、ver.6.9.0から 6.9.3より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。

この問題はこの課題で追跡できます。：  https://jira.atlassian.com/browse/CONFSERVER-57971　CLOSEDCLOSED

謝辞

この脆弱性は、Assetnote (https://assetnote.io)社のShubham Shahと DEVCORE (https://devco.re)のOrange Tsai により発見されました。

Widget Connector vulnerability (CVE-2019-3396) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル（critical）と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

2019/3/7以前にリリースされた Confluence Server と Data Center のバージョンは、この脆弱性(CVE-2019-3396)の影響をうけます。 Confluence Server とConfluence Data Centerで、Widget Connector を経由した 引数インジェクションの脆弱性があります。攻撃者がこの問題を悪用して、 Confluence Server や Data Centerのインスタンス上で　サーバーサイドのテンプレートのインジェクション、ディレクトリトラバーサル(アクセス禁止のディレクトリや移動する)や リモートコードの実行を達成できます。

ver. 6.6.12より前のすべて、ver.6.7.0から 6.12.3より前、ver.6.13.0から 6.13.13より前、ver.6.14.0から 6.14.2より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。

この問題はこの課題で追跡できます。:  https://jira.atlassian.com/browse/CONFSERVER-57974　　CLOSED

謝辞

この脆弱性は、Daniil Dmitriev (https://twitter.com/ddv_ua)によって発見されました。

修正

Atlassian社はこの問題に対処するため以下の対策を施しました。

• これらの問題の修正を含む Confluence Server / Data Center ver.6.15.1をリリースしました。これは https://www.atlassian.com/software/confluence/download/ と https://atlassian.com/software/confluence/download/data-center からダウンロードできます。
• これらの問題の修正を含む Confluence Server / Data Center ver. 6.6.12, 6.12.3, 6.13.3 6.14.2 をリリースしました。これらは https://www.atlassian.com/software/confluence/download-archives からダウンロードできます。

あなたにしてほしいこと

Atlassianは、Confluence最新版 (6.14.2)へアップグレードを推奨します。Confluence Serverの最新バージョンの詳細の説明については、リリースノート をご確認ください。Confluence Serverの最新バージョンは、AtlassianのWebサイト からダウンロードできます。

最新バージョン(6.14.2)へアップグレードできない場合は:

(1) ご利用バージョンが 新しい feature release version (2018/10/2以降リリース) の場合は、 現在の feature release versionの 次の バグフィックスバージョンへアップグレードしてください。

(2) ご利用バージョンが enterprise release version (2017/12/12以降リリースのenterprise release version) の場合は、ご利用のenterprise release versionの最新版へアップグレードしてください。　

(3) 古いバージョン（2018/10/2以前のfeature release version や 2017/12/12以前のenterprise release version）をご利用の場合は、Confluence Server (Data Center)の最新バージョンか、enterprise release版の最新バージョンへアップグレードしてください。

緩和策

すぐにConfluenceのアップグレードができない場合は、一時的な対応策として、 > アプリ（アドオン）の管理 より、以下のConfluecneのシステムプラグインを無効にします。 

• WebDAV plugin
• Widget Connector

 Confluenceをアップグレード後に、これらのプラグインを再有効化します。

サポート

もしこのアドバイザリのメールが届かなく、今後メールの受け取りを希望する場合は、https://my.atlassian.com/email より Alerts emailを購読してください。