公開日 : 2017/04/20

カテゴリー : Confluence 

タグ : セキュリティ勧告 脆弱性 

Confluence – 認証されていないユーザーが Confluece ブログおよびページのコンテンツを閲覧できる – CVE-2017-7415

注意 : 2014 年 09 月以降、 アトラシアンからバイナリ形式のバグ パッチが提供されることはありません。その代わり、メジャー バージョンに対して新たにメンテナンス リリースが作成されます。

概要CVE-2017-7415 – 認証されていないユーザーが Confluece ブログおよびページのコンテンツを閲覧できる
アドバイザリの公開日2017/04/19 10AM PDT
製品Confluence
影響を受けるバージョン6.0.0 以降、かつ、6.0.7 よりも前
修正済みバージョン6.0.7 以降の Confluence バージョンはこの問題の修正を含んでいます (6.0.7、6.1.0、6.1.1、および 6.1.2)。
CVE 識別番号CVE-2017-7415

脆弱性の概要

このアドバイザリでは、Confluence 6.0.0 で導入された 重要度レベル高 のセキュリティの脆弱性について解説しています。6.0.0 以降、かつ 6.0.7 (6.0.x 用の修正バージョン) よりも前の Confluence バージョンはこの脆弱性の影響を受けます。

認証されていないユーザーが Confluece ブログおよびページのコンテンツを閲覧できる (CVE-2017-7415)

重要度

「セキュリティ問題に関する重大度の基準」に従い、アトラシアンではこの脆弱性の評価を「」としています。この基準では、脆弱性を致命的、高、中、または低に分類しています。この基準では、脆弱性を致命的、高、中 もしくは低に分類しています。

これは独自評価であり、お使いの IT 環境への適用についてはご自身で評価を行ってください。

説明

Confluence のドラフト差分 REST リソースを利用することで、ページ ID やドラフト ID による認証なしにすべてのブログとページの現在のコンテンツを利用できます。攻撃者が脆弱性を含むバージョンの Confluence の Web インターフェイスにアクセス可能な場合、この脆弱性を利用してページやドラフト ID を列挙することで Confluence 上のすべてのブログとページのコンテンツを取得できます。

6.0.0 以降、かつ 6.0.7 よりも前のすべての Confluence バージョンは、この脆弱性の影響を受けます。この問題は CONFSERVER-52222 で管理されています。

謝辞

この問題を弊社に報告してくれた Yuvanesh 氏に感謝します。

修正

この問題に対応するために、弊社は以下の手段を取りました。

  • この問題の修正を含む Confluence バージョン 6.0.7 をリリースしました。
  • この問題の修正を含む Confluence バージョン 6.1.0 をリリースしました。

取るべき対策

Confluence をバージョン 6.1.0 以降にアップグレードする (推奨)

アトラシアンは最新バージョンへのアップグレードを推奨します。Confluence 最新バージョンの詳細については、リリース ノートを参照してください。Confluence 最新バージョンのダウンロードは、ダウンロード センターから行えます。

Confluence をバージョン 6.0.7 にアップグレードする

Confluence 6.0.x を稼動しており、かつ、最新バージョンへのアップグレードを行えない場合 は、バージョン 6.0.7 にアップグレード します。

この Confluence バージョンはダウンロード アーカイブからダウンロードできます。

リスク軽減

すぐにアップグレードを行えない場合は、以下の指示にしたがって共同編集を無効にします。これにより、脆弱性を含む Confluence バージョンでこの問題のリスクを軽減できます。

  1. 歯車アイコン > 一般設定 > 共同編集の順に移動します。
  2. 共同編集モードをオフに変更します。
    このモードに変更した際、共有ドラフトが失われることに注意してください。保存したい作業内容をすべて公開してから、この変更を適用します。
  3. ページの再読み込みを行い、共同編集モードが “オフ” になっていることを確認します。

サポート

このアドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

このアドバイザリに関するご質問や懸念がございましたら、http://support.atlassian.com にてサポート チケットを作成してください。

最近の投稿



カテゴリ



アーカイブ