バージョン 6.6.13, 6.12.4, 6.13.4, 6.14.3, 6.15.2 へアップグレードした Confluence Server や Data Center の場合は影響をうけません。
Confluence Cloud を利用しているお客様へは影響はありません。

Atlassian社のセキュリティアドバイザリ

Confluence Security Advisory - 2019-04-17: Confluence - Path traversal vulnerability - CVE-2019-3398

詳細情報

注意

2014年9月以降、バグフィックス用のパッチは発行されていません。代わりに、バグフィックスを含む新しいバージョンをリリースします。

Summary	CVE-2019-3398 - Path traversal in the downloadallattachments resource
Advisory Release Date	2019/04/17 10:00 AM PDT (Pacific Time, -7 hours)
Products	Confluence Server Confluence Data Center
Affected Versions	2.x.x, 3.x.x, 4.x.x 5.x.x 6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x すべて 6. 6.13より前のすべての 6.6.x 6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x すべて 6.12.4より前の 6.12.xすべて 6.13.4より前の 6.13.xすべて 6.14.3より前の 6.14.xすべて 6.15.2より前の6.15.xすべて
Fixed Versions	6. 6.13 以降の 6. 6. x 6.12.4 以降の 6.12.x 6.13.4 以降の 6.13.x 6.14.3 以降の 6.14.x 6.15.2 以降の 6.15.x
CVE ID(s)	CVE-2019-3398

脆弱性の概要

このアドバイザリでは、 Confluence Server と Confluence Data Centerに含まれる重大な脆弱性について説明します。

ver.2.0.0以降からver. 6.6.13(ver.6.6.xの修正バージョン)より前、ver.6.7.0から 6.12.4(ver.6.12.xの修正バージョン)より前、ver.6.13.0から 6.13.4(ver.6.13.xの修正バージョン)より前、ver.6.14.0から 6.14.3(ver.6.14.xの修正バージョン)より前、ver.6.15.0から 6.15.2(ver.6.15.xの修正バージョン)より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。

以下のConfluence Server やData Centerバージョンをダウンロードしてインストールしているお客様は影響を受けます：

2.x.x, 3.x.x, 4.x.x 5.x.x
6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x すべて
6. 6.13より前のすべての 6.6.x
6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x すべて
6.12.4より前の 6.12.xすべて
6.13.4より前の 6.13.xすべて
6.14.3より前の 6.14.xすべて
6.15.2より前の6.15.xすべて

脆弱性を修正するために、ただちにConfluence Server やData Centerをアップグレードしてください。

Path traversal in the downloadallattachments resource vulnerability (CVE-2019-3398) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル（critical）と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Confluence Server と Confluence Data Center は、downloadallattachments （添付ファイルを全てダウンロード）のリソースに、パス・トラバーサルの脆弱性があります。
ページ・ブログに添付ファイルのアップロード、新規スペース作成・パーソナルスペース作成、またはスペース管理者の、何れかの権限を持つ外部の攻撃者は、パス・トラバーサルの脆弱性を突いて、サーバ内の任意の場所にファイルを作成できます。また、これを利用して、脆弱性があるバージョンのConfluence Server と Confluence Data Center へリモートから任意のコードを実行する可能性があります。

ver.2.0.0以降からver. 6.6.13(ver.6.6.xの修正バージョン)より前、ver.6.7.0から 6.12.4(ver.6.12.xの修正バージョン)より前、ver.6.13.0から 6.13.4(ver.6.13.xの修正バージョン)より前、ver.6.14.0から 6.14.3(ver.6.14.xの修正バージョン)より前、ver.6.15.0から 6.15.2(ver.6.15.xの修正バージョン)より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。

この問題はこの課題で追跡できます。： https://jira.atlassian.com/browse/CONFSERVER-58102　CLOSEDCLOSED

謝辞

この脆弱性は、IT Centr のJānis Krusts により発見されました。

修正

Atlassian社はこの問題に対処するため以下の対策を施しました。

この問題の修正を含む Confluence Server / Data Center ver.6.15.2をリリースしました。これは https://www.atlassian.com/software/confluence/download/ と https://atlassian.com/software/confluence/download/data-center からダウンロードできます。
この問題の修正を含む Confluence Server / Data Center ver. 6.6.13, 6.12.4, 6.13.4 6.14.3 をリリースしました。これらは https://www.atlassian.com/software/confluence/download-archives からダウンロードできます。

注意

この脆弱性によって、リックソフトが添付ファイル一括ダウンロード時に日本語の文字化け対策として提供しているアドオンにも影響があることが判明しております。

このアドオンへも対処方法を行う必要があります。

詳細と対処方法は、以下のリンクを参照ください。

Confluence Security Advisory 2019-04-17 - Download All Attachments Extension for Confluence (ja_JP) への影響について

あなたにしてほしいこと

Atlassianは、Confluence最新版 (6.15.2)へアップグレードを推奨します。Confluence Serverの最新バージョンの詳細の説明については、リリースノートをご確認ください。Confluence Serverの最新バージョンは、AtlassianのWebサイトからダウンロードできます。

最新バージョン(6.15.2)へアップグレードできない場合は:

(1) ご利用バージョンが新しい feature release version (2018/10/4以降リリース) の場合は、 現在の feature release versionの次のバグフィックスバージョンへアップグレードしてください。

以下の feature release versionを利用している場合は...	…以下のバグフィックスバージョンへアップグレードする：
6.12.0, 6.12.1, 6.12.2, 6.12.3	6.12.4
6.13.0, 6.13.1, 6.13.2, 6.13.3	6.13.4
6.14.0, 6.14.1, 6.14.2	6.14.3

(2) ご利用バージョンが enterprise release version (2017/4/4以降リリースのenterprise release version) の場合は、ご利用のenterprise release versionの最新版へアップグレードしてください。　

以下の enterprise release versionを利用している場合は...	…以下のバージョンへアップグレードする：
6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11, 6.6.12	6.6.13
6.13.0, 6.13.1, 6.13.2, 6.13.3	6.13.4

(3) 古いバージョン（2018/10/4以前のfeature release version や 2017/4/4以前のenterprise release version）をご利用の場合は、Confluence Server (Data Center)の最新バージョンか、enterprise release版の最新バージョンへアップグレードしてください。

以下の古いバージョンを利用している場合は…

…以下のいずれかにアップグレードする：

1.x.x

2.x.x

3.x.x

4.x.x

5.x.x

6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x

6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x

6.15.2

6.14.3

6.13.4

6.6.13

緩和策

近々にアップグレードいただけない場合は、一時的な回避策として、下記URLを無効化していただくことが出来ます。

<base-url>/<context-path>/pages/downloadallattachments.action

この回避策により、添付ファイルの一覧ページ、および添付ファイルマクロから「全てダウンロード」は使用不可となりますが、各添付ファイルの個々のダウンロードは可能です。

Tomcatで直接URLを無効化するには：

以下の手順で「全てダウンロード」を無効化いただくことが出来ます。

Confluence のサービスを停止します。
<Confluence-Install>/conf/server.xmlファイルを編集します。
<host> タグ内に下記を追加します。
<Context path="/pages/downloadallattachments.action" docBase="" >
<Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
</Context>
コンテキストパスを指定されている場合（例：/wiki）は、下記のようにコンテキストパスを含めてください。
<Context path="/wiki/pages/downloadallattachments.action" docBase="" >
<Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
</Context>
<Confluence-Install>/conf/server.xmlファイルを保存して、Confluenceをサービスを再開します。

本回避策が正しく適用されていることをご確認いただくには：

下記の手順をお試しください。

添付ファイルを２件以上含むページ、又はブログに遷移します。
当該ページの添付ファイル一覧に遷移して、「全てダウンロード」をクリックします。

正しく適用されている場合は、404（ページが見つかりません）のエラーが表示され、ダウンロードは行われません

サポート

もしこのアドバイザリのメールが届かなく、今後メールの受け取りを希望する場合は、https://my.atlassian.com/email より Alerts emailを購読してください。

サポートされていないブラウザーです