Confluence Server and Data Center - Atlassian Companion Man-in-the-Middle 2019-12-18 日本語訳
Atlassian 社のセキュリティアドバイザリ
Confluence Server and Data Center - Atlassian Companion への 中間者攻撃 (CVE-2019-15006)
要約 | CVE-2019-15006 - Atlassian Companion Man-in-the-Middle |
---|---|
アドバイザリのリリース日 | 10:00 AM PST (Pacific Time, -7 hours) |
対象製品 |
|
影響する Confluence バージョン |
|
Fixed Confluence Server Versions |
|
CVE ID(s) | CVE-2019-15006 |
脆弱性の概要
このアドバイザリは、Confluence Server/ Confluence Data Center の ver.6.11.0 で導入された機能の medium な深刻度 のセキュリティ脆弱性を発表します。
Confluence Server/ Confluence Data Centerの 以下のバージョンがこの脆弱性の影響を受けます:
- 6.11.0 - 6.13.9 (6.13.10で修正)
- 6.14.0 - 6.15.9 (6.15.10で修正)
- 7.0.1 - 7.0.4 (7.0.5で修正)
- 7.1.0 - 7.1.1 (7.1.2で修正)
- 7.2.0-beta1 (7.2.0で修正)
Atlassian Cloud インスタンスは、このページに記載されている脆弱性がない Confluence へ 既にアップグレードしています。
Confluence Server / Confluence Data Center を 6.13.10, 6.15.10, 7.0.5, 7.1.2, 7.2.0以上 へアップグレードしたお客様は影響を受けません。
上記の影響バージョンを利用しているお客様は、この脆弱性を対処するためにただちに Confluence Server / Confluence Data Center をアップグレードしてください。
Atlassian Companion の中間者攻撃 (man in the middle)
深刻度
Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を moderate と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
説明
Confluence Server / Confluence Data Center の Confluence Previews pluginにman-in-the-middle (MITM) の脆弱性があります。このプラグインは、Atlassian Companion アプリケーションとの通信を容易にするため利用されていました。Confluence Server / Confluence Data Center の Confluence Previews pluginは、Companion アプリケーションへ atlassian-domain-for-localhost-connections-only.com というドメイン名 と 127.0.0.1を関連づける DNS Aレコードを経由して通信していました。また、ドメインの署名済み証明書は、Companion アプリケーションとともに公開されていました。 ユーザー(クライアント)側のDNSの名前解決を制御できる立場にいる攻撃者は、Confluence Server (Confluence Data Center) とCompanion アプリケーションで使用する目的の atlassian-domain-for-localhost-connections-only.com ドメインの間で man-in-the-middle(中間者攻撃)を実行できます。この証明書は失効になっても、atlassian-domain-for-localhost-connections-only.comドメイン名は、Confluence Server / Confluence Data Centerでまだ利用している状態になります。攻撃者は、証明書の失効情報へのアクセスを拒否することで、説明にある攻撃を実行でき、また、Companion アプリケーションを使用して編集中のファイルを観察したり、それらを変更したり、限定されたユーザー情報へアクセスするような中間者攻撃(MITM)を実行する可能性があります。
この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/CONFSERVER-59244
Confluence Server / Confluence Data Center の 6.11.0 - 6.13.9、6.14.0 - 6.15.9、7.0.1 - 7.0.4、7.1.0 - 7.1.1 、7.2.0-beta1がこの脆弱性の影響を受けます。
緩和策
Confluence Server (Data Center) をただちにアップグレードできない場合、もしくは Confluence Cloudへの移行 ができない場合、一時的な緩和策として、Confluence Previews pluginを手動でアップグレードするか、Confluence Previews plugin のCompanion App integrationを無効化するかで対応します。
Confluence が 6.13 以降の場合, 手動でプラグインをアップグレードする
Confluence Previews pluginをアップグレードするには:
以下の表より、あなたのConfluenceのバージョンに合った Confluence Previews plugin のバージョンをダウンロードします。
Confluence 画面左上の
> Manage apps (アプリの管理)をクリックします。アプリをアップロード を選択し、以下リンクの手順に従ってプラグインを手動でインストールします。
詳細は、 Marketplace アプリのインストール - ファイル アップロードでインストールする をご確認ください。
Confluence version | Confluence Previews plugin version with fix |
---|---|
Confluence 7.1.x | |
Confluence 7.0.x | |
Confluence 6.15.x | |
Confluence 6.14.x | confluence-previews-8.0.7 |
Confluence 6.13.x (Enterprise release) |
プラグインが正常にアップデートされたか確認するには、 Confluence Previews plugin" を検索し、リストを拡張して、バージョン番号が上記のリストのあなたのConfluenceに対応したプラグインバージョンと一致しているかを確認してください。
> アプリの管理 より、"Confluence 6.11 か 6.12を利用時は, Companion App integration を無効化する
"Edit with" を機能的に無効化する方法です。 Atlassian Companion App integrationを無効化にするには:
- > アプリの管理 へアクセスします。
- ドロップダウンメニューからシステムアプリ を選択し、"Confluence Previews" を検索します。
- プラグインのモジュールリストの拡張をクリックします。
- 以下のプラグインモジュールを無効にします。
- Edit With plugin for the Media Viewer (companion-plugin)
- Embedded 'Edit With' button (embedded-edit)
ADCClient AMD Wrapper (companion-client-wrapper)
Edit With button (companion-plugin-button)
Templates for Edit With feature (companion-plugin-templates)
Companion App integration が正常に無効化されたか確認するには、ページにファイルを挿入し、ページへアクセスしてファイルのサムネイルをクリックします。そこで、プレビューが表示されますが、“Edit with” メニューは表示されなくなります。
Atlassianは、この問題に対処するためにConfluence Server の次のバージョンをリリースしました。
- 7.2.0 https://www.atlassian.com/software/confluence/download
7.1.2 https://www.atlassian.com/software/confluence/download-archives
7.0.5 https://www.atlassian.com/software/confluence/download-archives
6.15.10 https://www.atlassian.com/software/confluence/download-archives
6.13.10 https://www.atlassian.com/software/confluence/download-archives
Atlassianは、この問題に対処するためにConfluence DataCenter の次のバージョンをリリースしました。
- 7.2.0 https://www.atlassian.com/software/confluence/download/data-center
7.1.2 https://www.atlassian.com/software/confluence/download-archives
7.0.5 https://www.atlassian.com/software/confluence/download-archives
6.15.10 https://www.atlassian.com/software/confluence/download-archives
6.13.10 https://www.atlassian.com/software/confluence/download-archives
あなたにしてほしいこと
Atlassian は、最新のエンタープライズリリースバージョンの 6.13.10 か 最新バージョンへアップグレードすることを推奨しています。Confluence Server / Confluence Data Center の最新バージョンの詳細説明は、Release Notes をご確認ください。download center から Confluence Server /Data Centerの最新のエンタープライズリリースバージョンをダウンロードできます。
Confluence Server / Confluence Data Centerの修正バージョンへアップグレードしてください。
(1) 現在の エンタープライズリリース バージョン (2017年12月18日以降にリリースされたエンタープライズリリースバージョン) もしくは 旧バージョン (2018年12月2日前にリリースされた)の場合、 最新のエンタープライズリリースバージョン(6.13.10)へアップグレードしてください。
以下のバージョンの場合… | …以下のエンタープライズリリースバージョンへアップグレードする: |
---|---|
6.13.x 6.12.x 6.11.x | 6.13.10 (推奨) |
(2) 現在のフィーチャーバージョン (2019年6月18日以降にリリースされたフィーチャーバージョン)の場合、現在利用しているフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。
以下のバージョンの場合… | …以下のバグフィックスバージョンへアップグレードする: |
---|---|
7.1.x | 7.1.2 |
7.0.x | 7.0.5 |
6.15.x | 6.15.10 |
(3) 旧バージョン ( 2019年6月18日以前のリリースのフィーチャーバージョン) の場合、エンタープライズリリースバージョンへ アップグレードできないため、以下のいずれかのバージョンへアップグレードしてください。
以下のバージョンの場合… | …以下のいずれかのバージョンへアップグレードする: |
---|---|
6.14.x | 6.15.10 7.0.5 7.1.2 7.2.0 |
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ