Confluence セキュリティ アドバイザリ 2019-04-17

2019-04-18 (Thu)  •  By 伊藤  •  ドキュメント  •  Confluence セキュリティ勧告 翻訳

今回の記事は、Confluence 管理ドキュメント「Confluence Security Advisory – 2019-04-17 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Confluence – パス トラバーサル脆弱性 – CVE-2019-3398

概要
  • CVE-2019-3398 – downloadallattachments リソースにおけるパス トラバーサル
アドバイザリ公開日
  • 2019 年 04 月 17 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Confluence (Server)
  • Confluence (Data Center)
影響を受けるバージョン
  • 2.0.0 以降かつ 6.6.13 よりも前のバージョン
  • 6.7.0 以降かつ 6.12.4 よりも前のバージョン
  • 6.13.0 以降かつ 6.13.4 よりも前のバージョン
  • 6.14.0 以降かつ 6.14.3 よりも前のバージョン
  • 6.15.0 以降かつ 6.15.2 よりも前のバージョン
修正済みバージョン
  • 6.6.13
  • 6.12.4
  • 6.13.4
  • 6.14.3
  • 6.15.2
CVE ID
  • CVE-2019-3398

脆弱性の概要

このアドバイザリでは、Confluence (Server) および Confluence (Data Center) のバージョン 2.0.0 で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性をお知らせします。2.0.0 以降かつ 6.6.13 (6.6.x の修正バージョン) よりも前のバージョン、6.7.0 以降かつ 6.12.4 (6.12.x の修正バージョン) よりも前のバージョン、6.13.0 以降かつ 6.13.4 (6.13.x の修正バージョン) よりも前のバージョン、6.14.0 以降かつ 6.14.3 (6.14.x の修正バージョン) よりも前のバージョン、および 6.15.0 以降かつ 6.152 よりも前のバージョンのすべての Confluence (Server) および Confluence (Data Center) はこの脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、このページに記載されている問題の 影響を受けません。
バージョン 6.6.13、6.12.4、6.13.4、6.14.3、または 6.15.2 の Confluence (Server) にアップグレードしたユーザーは影響を受けません。

以下のバージョンの Confluence (Server) または Confluence (Data Center) をダウンロード/インストールしたユーザーは影響を受けます。

  • すべての 2.x.x バージョン
  • すべての 3.x.x バージョン
  • すべての 4.x.x バージョン
  • すべての 5.x.x バージョン
  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • 6.6.13 よりも前 のすべての 6.6.x バージョン
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.10.x バージョン
  • すべての 6.11.x バージョン
  • 6.12.4 よりも前 のすべての 6.12.x バージョン
  • 6.13.4 よりも前 のすべての 6.13.x バージョン
  • 6.14.3 よりも前 のすべての 6.14.x バージョン
  • 6.15.2 よりも前 のすべての 6.15.x バージョン

直ちにお使いの Confluence (Server) または Confluence (Data Center) インストレーションのアップグレードを行い、この脆弱性に対応してください。

downloadallattachments リソースにおけるパス トラバーサル – CVE-2019-3398

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

Confluence (Server) および Confluence (Data Center) には、downloadallattachments リソースにパス トラバーサル脆弱性が含まれていました。リモートの攻撃者がページやブログ投稿へのファイルの添付権限を持つ場合、スペースやパーソナル スペースを新規作成する権限を持つ場合、またはスペースの管理権限を持つ場合、このパス トラバーサル脆弱性を悪用することで、脆弱性を含むバージョンの Confluence (Server) または Confluence (Data Center) が稼働するシステム上でリモート コード実行を行えます。

2.0.0 以降かつ 6.6.13 (6.6.x の修正バージョン) よりも前のバージョン、6.7.0 以降かつ 6.12.4 (6.12.x の修正バージョン) よりも前のバージョン、6.13.0 以降かつ 6.13.4 (6.13.x の修正バージョン) よりも前のバージョン、6.14.0 以降かつ 6.14.3 (6.14.x の修正バージョン) よりも前のバージョン、および 6.15.0 以降かつ 6.152 よりも前のバージョンのすべての Confluence (Server) および Confluence (Data Center) はこの脆弱性の影響を受けます。この問題は CONFSERVER-58102 で管理されています。

謝辞

今回の脆弱性の発見は、IT Centr の Jānis Krusts 氏の功績です。

修正

この問題に対応するためにアトラシアンは以下の手段を講じました。

取るべき対策

アトラシアンは最新バージョン (6.15.2) へのアップグレードを推奨します。Confluence (Server) および Confluence (Data Center) の最新バージョンの詳細については、「Confluence 6.15 リリース ノート 」を参照してください。Confluence の最新バージョンは ダウンロード センター からダウンロードできます。Confluence のインストール手順およびアップグレード手順については、「Confluence のインストールおよびアップグレード ガイド 」を参照してください。

バージョン 6.15.2 以降にアップグレードできない場合:

(1) 現行のフューチャー バージョン (2018 年 10 月 04 日以降にリリースされたフューチャー バージョン) をお使いの場合、その 現行のフィーチャー バージョンの次の不具合修正バージョン にアップグレードしてください。

使用しているフューチャー バージョンアップグレード先となる不具合修正バージョン
6.12.0、6.12.1、6.12.2、6.12.36.12.4
6.13.0、6.13.1、6.13.2、6.13.36.13.4
6.14.0、6.14.1、6.14.26.14.3

(2) 現行のエンタープライズ リリース バージョン (2017 年 04 月 04 日以降にリリースされたエンタープライズ リリース バージョン) をお使いの場合、その 現行のエンタープライズ リリース バージョンの最新バージョン にアップグレードしてください。

使用しているエンタープライズ リリース バージョンアップグレード先となる不具合修正バージョン
6.6.0、6.6.1、6.6.2、6.6.3、6.6.4、6.6.5、6.6.6、6.6.7、6.6.8、6.6.9、6.6.10、6.6.11、6.6.126.6.13
6.13.0, 6.13.1, 6.13.2, 6.13.36.13.4

(3) より古いバージョン (2018 年 10 月 04 日よりも前にリリースされたフューチャー バージョン、もしくは 2017 年 04 月 04 日よりも前にリリースされたエンタープライズ リリース バージョン) をお使いの場合、最新バージョンの Confluence (Server) または Confluence (Data Center)、もしくは、最新バージョンのエンタープライズ リリース バージョン にアップグレードしてください。

軽減策

Confluence をすぐにアップグレードできない場合の 一時的な回避策 として、影響を受ける <base-url>/<context-path>/pages/downloadallattachments.action URL をブロックしてください。この URL を無効化することで、ユーザーは添付ファイル ページや添付ファイル マクロ経由で添付ファイルを一括ダウンロードできなくなります。

この URL を Tomcat 上で直接ブロックするには、以下の操作を行います。

  1. Confluence を停止します。
  2. <install-directory>/conf/server.xml を編集します。
  3. <Host> 要素に以下を追加します。
  4. <Context path="/pages/downloadallattachments.action" docBase="" >
        <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>
    

    お使いの Confluence でコンテキスト パスを設定している場合 (例 : /wiki)、そのコンテキスト パスをパスに含めます。以下はその例です。

    <Context path="/wiki/pages/downloadallattachments.action" docBase="" >
        <Valapp className="org.apache.catalina.valapps.RemoteAddrValapp" deny="*" />
    </Context>
    
  5. ファイルを保存し、Confluence を再起動します。

回避策が適切に適用されていることを確認するには、以下の操作を行います。

  1. ファイルが複数添付されているページまたはブログを表示します。
  2. […] アイコンから [添付ファイル] オプションを選択し、[すべての添付ファイルをダウンロード] をクリックします。

404 エラー ページが表示され、ファイルはダウンロードされません。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー バグ修正に関する、アトラシアンの SLA および保障内容です。
セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。

Related Articles

お気軽にお問い合わせください

お問い合わせ