Confluence セキュリティ アドバイザリ 2019-08-28

2019-08-29 (Thu)  •  By 伊藤  •  ドキュメント  •  Confluence セキュリティ勧告 翻訳

今回の記事は、Confluence 管理ドキュメント「Confkuence Security Advisory 2019-08-28 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

ローカル ファイルの漏洩に関する脆弱性 – CVE-2019-3394

概要
  • CVE-2019-3394 – エクスポートを経由したローカル ファイルの漏洩
アドバイザリ公開日
  • 2019 年 08 月 28 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Confluence (Server) および Confluence (Data Center)
影響を受けるバージョン
  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • 6.6.16 (6.6.x の修正バージョン) よりも前 のすべての 6.6.x バージョン
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x バージョン
  • すべての 6.11.x バージョン
  • すべての 6.12.x バージョン
  • 6.13.7 (6.13.x の修正バージョン) よりも前 のすべての 6.13.x バージョン
  • すべての 6.14.x バージョン
  • 6.15.8 (6.15.x の修正バージョン) よりも前 のすべての 6.15.x バージョン
修正済みバージョン
  • 6.6.16
  • 6.13.7
  • 6.15.8
CVE ID
  • CVE-2019-3394

脆弱性の概要

このアドバイザリでは、バージョン 6.1.0 の Confluence (Server) および Confluence (Data Center) で発見された 重要度 “重大 (Critical)” であるセキュリティの脆弱性についてお知らせします。6.1.0 以降かつ 6.6.16 (6.6.x の修正バージョン) よりも前のバージョン、6.7.0 以降かつ 6.13.7 (6.13.x の修正バージョン) よりも前のバージョン、および、6.14.0 以降かつ 6.15.8 (6.15.x の修正バージョン) よりも前のバージョンの Confluence (Server) および Confluence (Data Center) はこの脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、このページで解説されている問題の影響を受けません。

Confluence (Server) または Confluence (Data Center) をバージョン 6.6.16、6.13.7、または 6.15.8 にアップグレード済みのユーザーは影響を受けません。

以下のバージョンの Confluence (Server) または Confluence (Data Center) をダウンロード、かつインストールしたユーザーは影響を受けます。

  • すべての 6.1.x バージョン
  • すべての 6.2.x バージョン
  • すべての 6.3.x バージョン
  • すべての 6.4.x バージョン
  • すべての 6.5.x バージョン
  • 6.6.16 (6.6.x の修正バージョン) よりも前 のすべての 6.6.x バージョン
  • すべての 6.7.x バージョン
  • すべての 6.8.x バージョン
  • すべての 6.9.x バージョン
  • すべての 6.10.x バージョン
  • すべての 6.11.x バージョン
  • すべての 6.12.x バージョン
  • 6.13.7 (6.13.x の修正バージョン) よりも前 のすべての 6.13.x バージョン
  • すべての 6.14.x バージョン
  • 6.15.8 (6.15.x の修正バージョン) よりも前 のすべての 6.15.x バージョン

直ちに お使いの Confluence (Server) または Confluence (Data Center) インストレーションの アップグレード を行い、この脆弱性に対応してください。

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 重大 (Critical) としています。この基準では、脆弱性を重大、高、中、または低に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

Confluence (Server) および Confluence (Data Center) には、ページのエクスポート機能にローカル ファイルの漏洩に関する脆弱性が含まれていました。”ページの追加” スペース権限を持つリモートの攻撃者は、<install-directory>/confluence/WEB-INF ディレクトリ内の任意のファイルを読むことができます。
このディレクトリは他のサービスとの統合に使用される構成ファイルを含むため、LDAP 認証などの認証情報や他の機密情報の漏洩に繋がります。LDAP 認証が漏洩する可能性があるのは、LDAP 認証が atlassian-user.xml 内で指定されている場合です。これは LDAP 統合の構成に関する非推奨の方法です。

この脆弱性の影響を測定するには、<install-directory>/confluence/WEB-INF ディレクトリ、ならびにそのサブディレクトリ (特に /classes/) を確認します。LDAP または Crowd 認証 (crowd.propertiesatlassian-user.xml) を含む任意のファイル、または管理者がこのディレクトリに保存している可能性のあるその他の重要なデータを含むファイルを調べます。何も見つからない場合、この脆弱性は直ちに悪用可能ではありません。

これらディレクトリ内に認証情報が含まれている場合、パスワードを変更してください。

6.1.0 以降かつ 6.6.16 (6.6.x の修正バージョン) よりも前のすべてのバージョン、6.7.0 以降かつ 6.13.7 (6.13.x の修正バージョン) よりも前のすべてのバージョン、および、6.14.0 以降かつ 6.15.8 (6.15.x の修正バージョン) よりも前のすべてのバージョンの Confluence (Server) および Confluence (Data Center) はこの脆弱性の影響を受けます。

この問題は CONFSERVER-58734 で管理されています。

謝辞

今回の脆弱性の発見は、”Magic Ice Cream Shop” 氏の功績です。

修正

この問題に対応するためにアトラシアンは、以下のバージョンをリリースしました。

取るべき対策

Confluence のアップグレード

アトラシアンは、最新バージョン (6.15.8) へのアップグレードを推奨します。Confluence (Server) および Confluence (Data Center) の最新バージョンに関する詳細については、「Confluence 6.15 リリース ノート 」を参照してください。Confluence (Server) および Confluence (Data Center) の最新バージョンのダウンロードは、ダウンロード センター から行えます。また、「Confluence インストールおよびアップグレード ガイド 」も参照してください。

Confluence (Server) または Confluence (Data Center) をバージョン 6.15.8 以降にアップグレードできない場合 :

(1) 現行の エンタープライズ リリース バージョン (2017 年 08 月 28 日にリリースされたエンタープライズ リリース バージョン) をお使いの場合、その エンタープライズ リリース バージョンの最新バージョン にアップグレードしてください。

使用しているエンタープライズ リリース バージョン アップグレード先となる不具合修正バージョン
6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11, 6.6.12, 6.6.13, 6.6.14, 6.6.15 6.6.16
6.13.0, 6.13.1, 6.13.2, 6.13.3, 6.13.4, 6.13.5, 6.13.6 6.13.7

(2) より古いバージョン (2019 年 02 月 28 日以前にリリースされたフューチャー バージョン、または 2017 年 08 月 28 日以前にリリースされたエンタープライズ リリース バージョン) をお使いの場合、Confluence (Server) または Confluence (Data Center) の最新バージョン、または、エンタープライズ リリース バージョンの最新バージョン にアップグレードしてください。

Companion App (“Office で編集” 機能の代替え) の互換性が理由で最新バージョンへにアップグレードできないために Confluence 6.10 を使用している場合、6.15.8 または 6.13.7 (エンタープライズ リリース) のいずれかにアップグレードを行い、ドキュメントの指示に従って 従来の “Office で編集” 機能を有効化します。

軽減策

Confluence をすぐにアップグレードできない場合、または Confluence (Cloud) に移行中の場合、一時的な回避策 として atlassian.confluence.export.word.max.embedded.images システム プロパティ を使用して Word 形式のエクスポートに含める画像の最大数を 0 に設定します。これにより、Word 形式でのエクスポートに画像が埋め込まれなくなります。

Confluence の稼働方法に応じたシステム プロパティを適用する方法は、以下のとおりです。

Confluence を Windows サービスとして稼働している場合

  1. Windows サービス マネージャーに移動し、Confluence サービスを検索します。”Atlassian Confluence Confluence12345678″ などと呼ばれています。
  2. Confluence サービスをダブル クリックし、そのサービス名を記録しておきます。”Confluence12345678″ などの名前です。
  3. コマンド プロンプトを開き、<install-directory>\bin ディレクトリに移動します。
  4. 以下のコマンドを実行します。ただし、”SERVICENAME” は先ほどのサービス名です。
  5. tomcat9w //ES//SERVICENAME

    お使いの Confluence バージョンでは Tomcat バージョンが異なる場合があります。 Tomcat ファイルの名前の確認は、<install-directory>/bin で行います (tomcat8w.exe または tomcat9w.exe のいずれかです)。

  6. サービス ダイアログが [Java] タブ付きで表示されます。
  7. [Java オプション] フィールドに以下の行を新たに追加します。
  8. -Datlassian.confluence.export.word.max.embedded.images=0
  9. 変更を保存します。そして変更を有効にするためにサービスを再起動します。

このシステム プロパティを設定するための詳細については、「システム プロパティを設定する 」を参照してください。

Windows 上で Confluence を手動で起動している場合

  1. Confluence を停止します。
  2. <install-directory>\bin\setenv.bat ファイルを編集します。
  3. CATALINA_OPTS 変数を設定するブロックに対して、以下の行を追加します。
  4. set CATALINA_OPTS=-Datlassian.confluence.export.word.max.embedded.images=0 %CATALINA_OPTS%
    
  5. ファイルを保存し、Confluence を再起動します。

Linux 上で Confluence を手動で起動している場合

  1. Confluence を停止します。
  2. <install-directory>/bin/setenv.sh ファイルを編集します。
  3. CATALINA_OPTS 変数を設定するブロックに対して、以下の行を追加します。
  4. CATALINA_OPTS="-Datlassian.confluence.export.word.max.embedded.images=0 ${CATALINA_OPTS}"
    
  5. ファイルを保存し、Confluence を再起動します。

アトラシアンの Quick Start templates を使用して AWS 上で Confluence を稼働している場合、このシステム プロパティを設定するための詳細については、「システム プロパティを設定する 」を参照してください。

回避策が適切に適用されていることを確認するには、以下の操作を行います。

  1. 画像付きのページを作成します。
  2. そのページを Word 形式でエクスポートします。
  3. エクスポート ファイルに画像が埋め込まれていないことを確認します。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  Previous Next  

関連記事