Confluence Server and Data Center - Atlassian Companion Man-in-the-Middle 2019-12-18 日本語訳


Confluence Server and Data Center - Atlassian Companion への 中間者攻撃 (CVE-2019-15006)

要約

CVE-2019-15006 - Atlassian Companion Man-in-the-Middle

アドバイザリのリリース日

 10:00 AM PST (Pacific Time, -7 hours)

対象製品
  • Confluence Server
  • Confluence Data Center

影響する Confluence バージョン

  • 6.11.x
  • 6.11.x
  • 6.12.x
  • 6.13.0 -  6.13.9
  • 6.14.x
  • 6.15.0 - 6.15.9
  • 7.0.1 -7.0.4
  • 7.1.0 - 7.1.1

Fixed Confluence Server Versions

  • 7.2.0
  • 7.1.2

  • 7.0.5

  • 6.15.10

  • 6.13.10

CVE ID(s)CVE-2019-15006


脆弱性の概要

このアドバイザリは、Confluence Server/ Confluence Data Center の ver.6.11.0 で導入された機能の medium な深刻度 のセキュリティ脆弱性を発表します。
Confluence Server/ Confluence Data Centerの 以下のバージョンがこの脆弱性の影響を受けます:

  • 6.11.0 - 6.13.9 (6.13.10で修正)
  • 6.14.0 - 6.15.9 (6.15.10で修正)
  • 7.0.1 - 7.0.4 (7.0.5で修正)
  • 7.1.0 - 7.1.1 (7.1.2で修正)
  • 7.2.0-beta1  (7.2.0で修正)


Atlassian Cloud インスタンスは、このページに記載されている脆弱性がない Confluence へ 既にアップグレードしています。

Confluence Server / Confluence Data Center を 6.13.10, 6.15.10, 7.0.5, 7.1.2, 7.2.0以上 へアップグレードしたお客様は影響を受けません。

上記の影響バージョンを利用しているお客様は、この脆弱性を対処するためにただちに Confluence Server / Confluence Data Center をアップグレードしてください。

Atlassian Companion の中間者攻撃 (man in the middle)

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を moderate と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Confluence Server / Confluence Data Center の Confluence Previews pluginにman-in-the-middle (MITM) の脆弱性があります。このプラグインは、Atlassian Companion アプリケーションとの通信を容易にするため利用されていました。Confluence Server / Confluence Data Center の Confluence Previews pluginは、Companion アプリケーションへ atlassian-domain-for-localhost-connections-only.com というドメイン名 と 127.0.0.1を関連づける DNS Aレコードを経由して通信していました。また、ドメインの署名済み証明書は、Companion アプリケーションとともに公開されていました。 ユーザー(クライアント)側のDNSの名前解決を制御できる立場にいる攻撃者は、Confluence Server (Confluence Data Center) とCompanion アプリケーションで使用する目的の atlassian-domain-for-localhost-connections-only.com ドメインの間で man-in-the-middle(中間者攻撃)を実行できます。この証明書は失効になっても、atlassian-domain-for-localhost-connections-only.comドメイン名は、Confluence Server / Confluence Data Centerでまだ利用している状態になります。攻撃者は、証明書の失効情報へのアクセスを拒否することで、説明にある攻撃を実行でき、また、Companion アプリケーションを使用して編集中のファイルを観察したり、それらを変更したり、限定されたユーザー情報へアクセスするような中間者攻撃(MITM)を実行する可能性があります。

この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/CONFSERVER-59244

Confluence Server / Confluence Data Center の 6.11.0 - 6.13.9、6.14.0 - 6.15.9、7.0.1 - 7.0.4、7.1.0 - 7.1.1 、7.2.0-beta1がこの脆弱性の影響を受けます。

緩和策

Confluence Server (Data Center) をただちにアップグレードできない場合、もしくは Confluence Cloudへの移行 ができない場合、一時的な緩和策として、Confluence Previews pluginを手動でアップグレードするか、Confluence Previews plugin のCompanion App integrationを無効化するかで対応します。

Confluence が 6.13 以降の場合, 手動でプラグインをアップグレードする

 Confluence Previews pluginをアップグレードするには:

  1.  以下の表より、あなたのConfluenceのバージョンに合った Confluence Previews plugin のバージョンをダウンロードします。

  2. Confluence 画面左上の  > Manage apps (アプリの管理)をクリックします。 

  3.  アプリをアップロード を選択し、以下リンクの手順に従ってプラグインを手動でインストールします。

詳細は、 Marketplace アプリのインストール - ファイル アップロードでインストールする をご確認ください。

Confluence version

Confluence Previews plugin version with fix

Confluence 7.1.x

confluence-previews-9.1.5

Confluence 7.0.x

confluence-previews-9.0.4

Confluence 6.15.x

confluence-previews-8.2.2

Confluence 6.14.xconfluence-previews-8.0.7

Confluence 6.13.x (Enterprise release)

confluence-previews-7.0.19

プラグインが正常にアップデートされたか確認するには、 > アプリの管理 より、" Confluence Previews plugin" を検索し、リストを拡張して、バージョン番号が上記のリストのあなたのConfluenceに対応したプラグインバージョンと一致しているかを確認してください。

Confluence 6.11 か 6.12を利用時は, Companion App integration を無効化する

"Edit with" を機能的に無効化する方法です。 Atlassian Companion App integrationを無効化にするには:

  1.   > アプリの管理 へアクセスします
  2. ドロップダウンメニューからシステムアプリ を選択し、"Confluence Previews" を検索します。
  3. プラグインのモジュールリストの拡張をクリックします。
  4. 以下のプラグインモジュールを無効にします。
    • Edit With plugin for the Media Viewer (companion-plugin)
    • Embedded 'Edit With' button (embedded-edit)
    • ADCClient AMD Wrapper (companion-client-wrapper)

    • Edit With button (companion-plugin-button)

    • Templates for Edit With feature (companion-plugin-templates)

Companion App integration が正常に無効化されたか確認するには、ページにファイルを挿入し、ページへアクセスしてファイルのサムネイルをクリックします。そこで、プレビューが表示されますが、“Edit with” メニューは表示されなくなります。

Atlassianは、この問題に対処するためにConfluence Server の次のバージョンをリリースしました。


Atlassianは、この問題に対処するためにConfluence DataCenter の次のバージョンをリリースしました。

あなたにしてほしいこと

Atlassian は、最新のエンタープライズリリースバージョンの 6.13.10 最新バージョンへアップグレードすることを推奨しています。Confluence Server / Confluence Data Center の最新バージョンの詳細説明は、Release Notes をご確認ください。download center から Confluence Server /Data Centerの最新のエンタープライズリリースバージョンをダウンロードできます。 

 Confluence Server / Confluence Data Centerの修正バージョンへアップグレードしてください。

(1) 現在の エンタープライズリリース バージョン (2017年12月18日以降にリリースされたエンタープライズリリースバージョン) もしくは  旧バージョン (2018年12月2日前にリリースされた)の場合、 最新のエンタープライズリリースバージョン(6.13.10)へアップグレードしてください。

以下のバージョンの場合…

…以下のエンタープライズリリースバージョンへアップグレードする:

6.13.x

6.12.x

6.11.x

6.13.10 (推奨)

(2) 現在のフィーチャーバージョン (2019年6月18日以降にリリースされたフィーチャーバージョン)の場合、現在利用しているフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。

以下のバージョンの場合…

…以下のバグフィックスバージョンへアップグレードする:

7.1.x

7.1.2

7.0.x

7.0.5

6.15.x

6.15.10

(3) 旧バージョン ( 2019年6月18日以前のリリースのフィーチャーバージョン) の場合、エンタープライズリリースバージョンへ アップグレードできないため、以下のいずれかのバージョンへアップグレードしてください。

以下のバージョンの場合…

…以下のいずれかのバージョンへアップグレードする:

6.14.x

6.15.10

7.0.5

7.1.2

7.2.0




リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。


Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ