Confluence Server Security Advisory 2019-08-28 (日本語訳)

Owned by Hanayo Minamisawa [Ricksoft]
Last updated: 2022/01/29
1 min read


Atlassian 社のセキュリティアドバイザリ

このページは、Atlassianの Confluence Security Advisory - 2019-08-28 翻訳した内容です。

詳細情報

Confluence Server -   ローカルファイルの公開に関する脆弱性  - CVE-2019-3394

Summary

CVE-2019-3394 - Local File Disclosure via Export

Advisory Release Date

 10 AM PDT (Pacific Time, -7 hours)

Product

Confluence Server and Confluence Data Center

Affected Confluence Server Versions

  • 6.1.x~6.5.xのすべて
  • 6.6.15以前の6.6.xすべて
  • 6.7.x~6.12.xのすべて
  • 6.13.6以前の6.13.xすべて
  • 6.14.xのすべて
  • 6.15.7以前の6.15.xすべて

Fixed Confluence Server Versions

  • 6.6.16
  • 6.13.7
  • 6.15.8
CVE ID(s)CVE-2019-3394


脆弱性の概要

このアドバイザリでは、 Confluence Server と Confluence Data Centerのバージョン6.1.0から6.6.16より前(修正バージョンは6.6.16)、6.7.0から6.13.7より前(修正バージョンは6.13.7)6.14.0 から 6.15.8より前(修正バージョンは6.15.8)含まれる重大な脆弱性について説明します。


Atlassian Cloud は本脆弱性の影響を受けません。


Confluence Server/ Confluence Data Center を バージョン  6.6.16, 6.13.7, 6.15.8 にアップグレードしたお客様は本脆弱性の影響を受けません。


以下の Confluence Server / Data Centerバージョンをインストールしているお客様は影響を受けます:

  • 6.1.x~6.5.x のすべて
  • 6.6.16より前の6.6.xすべて
  • 6.7.x~6.12.x のすべて
  • 6.13.7より前の6.13.xすべて
  • 6.14.xのすべて
  • 6.15.8より前の6.15.x

この脆弱性を解決するために、Confluence Server/ Confluence Data Centerただちにアップグレードしてください


Local File Disclosure Vulnerability -  (CVE-2019-3394) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Confluence Server and Data Centerのページエクスポート機能でローカルファイルを意図せずに公開する脆弱性があります。

スペースへのページを追加権限を有する攻撃者が、<install-directory>/confluence/WEB-INF ディレクトリにある他のサービスとの統合に関する任意の設定ファイル(情報の漏洩となる資格情報、LDAPなどの資格情報、そのほかセンシティブな情報)を読むことができます。このLDAP資格情報がatlassian-user.xmlファイルで指定されている、LDAP資格情報が漏洩する可能性があります。これは、LDAP統合を構成するための非推奨な方法です。

この脆弱性の影響を判断するためには、 <install-directory>/confluence/WEB-INFディレクトリの中とそのサブディレクトリ配下(例えば特に /classes/ディレクトリ)にあるLDAPやCrowdの資格情報(crowd.properties, atlassian-user.xml)、または管理者がこのディレクトリに設置したセンシティブな情報を確認します。もし確認した結果、該当するファイルがない場合は、今回の脆弱性を使った悪用はされません。

これらのディレクトリで資格情報が見つかった場合は、パスワードを変更する必要があります。

今回の脆弱性はバージョン6.1.0から6.6.16より前(修正バージョンは6.6.16)、6.7.0から6.13.7より前(修正バージョンは6.13.7)6.14.0 から 6.15.8より前(修正バージョンは6.15.8)に影響があります。  

本件の対応状況はこちらの課題で追跡できます。:CONFSERVER-58734

あなたにしてほしいこと

Confluenceのアップグレード

Atlassianは、Confluence最新版 (6.15.8)へアップグレードを推奨します。Confluence Serverの最新バージョンの詳細の説明については、リリースノート をご確認ください。Confluence Serverの最新バージョンは、AtlassianのWebサイト からダウンロードできます。

最新バージョン 6.15.8 へアップグレードできない場合は:

(1) 現在のフィーチャーバージョン(2017年8月28日以降にリリースされたフィーチャーバージョン)をご利用の場合は、ご利用のフィーチャーバージョンの次のバグフィックスバージョンへアップグレードしてください。

以下のバージョンを利用している場合は...以下のバージョンへアップグレードしてください
6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11, 6.6.12, 6.6.13, 6.6.14, 6.6.156.6.16
6.13.0, 6.13.1, 6.13.2, 6.13.3, 6.13.4, 6.13.5, 6.13.66.13.7


Atlassian Companion アプリ(現行の「Officeで編集」機能)を使用していて互換性の関係でConfluence6.10を使用している場合は、6.15.8またはエンタープライズリリース版の6.13.7へのアップグレードを検討してください。

従来のオフィスでの編集機能を有効にする方法については、こちらのドキュメントを確認ください

緩和策

すぐにConfluenceをアップグレードできない場合は、一時的な対応策として atlassian.confluence.export.word.max.embedded.images システムプロパティ を編集します。 このパラメータを編集して、wordファイルへの画像出力数を変更します。ゼロに変更することで、wordファイルへの画像出力がされなくなります。

以下のご対応をお願いします。

 WindowsサービスでConfluenceが起動している場合
  1. Windowsの「サービス」へ進み、Confluenceのサービスを見つけます。"Atlassian Confluence Confluence12345678"といった名前です。
  2. Confluenceサービスをダブルクリックし、サービス名を控えます。"Confluence12345678"といった名前です。

  3. コマンドプロンプトを開き cd コマンドで <install-directory>\bin フォルダへ移動します。

  4. 以下のコマンドを実行し、以下のコマンドを実行します。”SERVICENAME”は、2で控えたサービス名へ置き換えてください

    tomcat9w //ES//SERVICENAME

    TomcatのバージョンはConfluenceのバージョンによって異なることにご注意ください。<install-directory>/bin内にあるTomcatのファイルの名前でバージョンをチェックできます。(おそらくtomcat8w.exeかtomcat9w.exeになります)

  5. 「サービス」ダイアログ画面が表示されますので、「Java」タブを選択します。

  6. 「Java Options:」フィールドへ次の行を追加します。

    -Datlassian.confluence.export.word.max.embedded.images=0

  7. 変更を保存し、Confluenceサービスを再起動します。再起動後変更が反映されているかを確認します。

Configuringシステムプロパティ ではよりシステムプロパティの詳細を確認することができます。


 Windowsで手動で起動している場合

  1. Confluenceを停止します。

  2. <install-directory>\bin\setenv.batファイルを開きます。

  3. CATALINA_OPTS の項目を確認し、次の行を追加します。

    set CATALINA_OPTS=-Datlassian.confluence.export.word.max.embedded.images=0
  4. setenv.batファイルを保存し、Confluenceを起動します。


 Linuxで手動起動している場合
 ここをクリックすると展開されます...

  1. Confluenceを停止します。

  2. <install-directory>/bin/setenv.sh を開きます。

  3. CATALINA_OPTSの項目を確認し、次の行を追加します。

    CATALINA_OPTS="-Datlassian.confluence.export.word.max.embedded.images=0 ${CATALINA_OPTS}"
  4. setenv.shを保存し、Confluenceを起動します。


クイックスタートテンプレートを使用して、またはWindowsサービスとしてAWSでConfluenceを実行するときにシステムプロパティを反映する方法の詳細については、システムプロパティの設定を参照してください。

緩和策反映の確認方法

以下の手順で回避策が正しく適用されたことを確認します。:

  1. 画像が挿入されたページを作成します。
  2. 1.のページをワードファイルにエクスポートします。
  3. エクスポートされたファイルに画像が埋め込まれていないことを確認します。

リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。

Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ