Confluence Security Advisory 2019-04-17 - Download All Attachments Extension for Confluence (ja_JP) への影響について
弊社より個別にご案内しております、Confluenceの「すべてダウンロード」機能の文字化け対応パッチアドオン(以下 Download All Attachments Extension for Confluence (ja_JP) とします)について
Confluence Security Advisory 2019-04-17(CVE-2019-3398) と同様の脆弱性が確認されました。
大変お手数をおかけしますが、本ドキュメントの内容をご確認の上アドオンのアップグレードをお願い致します。
Confluenceの「すべてダウンロード」機能の文字化け対応パッチアドオンに関する弊社案内情報
脆弱性の概要
| ドキュメントリリース日 | 10:00 AM JST |
|---|---|
| Confluence製品タイプ |
|
| Confluence影響バージョン |
|
| Download All Attachments Extension for Confluence (ja_JP) 影響バージョン |
|
| Download All Attachments Extension for Confluence (ja_JP) 修正バージョン |
|
| Download All Attachments Extension for Confluence (ja_JP) Confluenceサポートバージョン |
|
Confluence Security Advisory 2019-04-17(CVE-2019-3398)の修正バージョンである
Confluence Server/DataCenter のバージョン 6.15.2、6.14.3 、6.13.4、6.12.4、または 6.6.13 をお使いのお客様でも
Download All Attachments Extension for Confluence (ja_JP) アドオン影響バージョンをご利用中の場合、アドオンのアップグレードは必要です。
利用バージョンの確認方法
Confluence管理者ユーザーでConfluenceにログインをします。
右上の「歯車」アイコンを選択後、メニューより、「アドオンを管理(またはアプリを管理)」をクリックします。
画面の「表示するアドオン(またはアプリ)を絞り込む」の入力フォームに 「Download All Attachments Extension for Confluence (ja_JP) 」を入力します。
- Download All Attachments Extension for Confluence (ja_JP) が表示された場合、Download All Attachments Extension for Confluence (ja_JP)の表示項目をクリックします。
- 以下のようにアドオン(アプリ)の詳細情報が表示されます。
バージョン(Version)が 6.1.1.1 または 5.6.5.2 の場合、アドオンのアップグレードが必要です。
詳細情報
Download All Attachments Extension for Confluence (ja_JP) の "download_allattachments_ja_jp_for_confluence.action” (添付ファイルを全てダウンロード) にはパス・トラバーサルの脆弱性があります。
ページ・ブログに添付ファイルのアップロード、新規スペース作成・パーソナルスペース作成、またはスペース管理者の、何れかのパーミッションを持つ外部の攻撃者は、
パス・トラバーサルの脆弱性を突いて、サーバ内の任意の場所にファイルを作成できます。これを利用してリモートからサーバ上で任意のコードを実行可能となる可能性があります。
深刻度
Confluence Security Advisory 2019-04-17(CVE-2019-3398) と同様です。
対策
弊社では、標準サポート提供中のお客様に対してアドオン修正バージョンをヘルプデスク経由で個別に配布致します。
大変お手数をおかけしますがこちらより弊社ヘルプデスクにログインの上、 Confluence をクリック Confluence - その他 をクリックして以下項目のご入力頂き、問い合わせをお願い致します。
項目名 | 入力例 |
|---|---|
| お問合せ用件 | Download All Attachments Extension for Confluence (ja_JP) 6.6.13.1 提供について |
| お問合せ内容 | Download All Attachments Extension for Confluence (ja_JP)を使用しています。 Download All Attachments Extension for Confluence (ja_JP) 6.6.13.1 の提供をお願い致します。 |
| Confluence バージョン | ご利用のConfluenceバージョンを指定してください。 |
| Data Center | 利用中の場合チェックをお願い致します。 |
| サポート資格番号(SEN) | SEN番号はライセンス送信時のメールに記載させて頂いておりますのでご確認の上入力をお願い致します。 SEN番号は管理画面のライセンス情報画面でも確認できます。 確認手順はこちらです。 |
| 優先度 | 任意入力です。 指定された優先度に関わらずヘルプデスクの営業時間での対応となりますことご了承ください。 https://www.ricksoft.jp/support/helpdesk.html
|
| 環境 | 任意入力です。本件に関しては入力不要です。 |
| 添付ファイル | 任意入力です。本件に関しては入力不要です。 |
ご対応いただく内容
- 弊社ヘルプデスク担当より提供致しました、アプリ(アドオン)ファイル download_allattachments_ja_jp_for_confluence-6.6.13.1.jar をご利用のPCにダウンロードいたします。
- Confluence管理者ユーザーでConfluenceにログインをします。
- 右上の「歯車」アイコンを選択後、メニューより、「アドオンを管理(またはアプリを管理)」をクリックします。
- 画面の「アドオンをアップロード(またはアプリをアップロード)」をクリックします。
- 1でご利用のPCにダウンロードしました、download_allattachments_ja_jp_for_confluence-6.6.13.1.jar を選択の上、「アップロード」ボタンをクリックします。
- 以下のようにアドオン(アプリ)のインストール結果が表示されます。バージョン(Version)が 6.6.13.1 と表示されましたら正常終了しております。
- Confluenceの添付ファイルが2つ以上存在するページにアクセスの上「・・・」をクリックしますとメニューが表示されますので「添付ファイル」をクリックします。
- 「すべてダウンロード」のリンクをクリックして、期待するZIPファイルがダウンロードでき、文字化けせず正常に展開できることを確認します。
「すべてダウンロード」のリンクをにはページに2つ以上の添付ファイルが必要です。
リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。
Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ