Atlassian Cloud への移行に関する 10 の誤解を正す

無料のホワイトペーパーで学ぶ Atlassian Cloud の利点

詳細を確認

Confluence セキュリティ アドバイザリ 2019-12-18

2019-12-19 (Thu)  •  By 伊藤  •  ドキュメント  •  Confluence セキュリティ勧告 翻訳

今回の記事は、Confluence 管理ドキュメント「Confluence Security Advisory 2019-12-18 」の弊社翻訳版です。原文と差異がある場合は、原文の内容が優先されます。

Confluence Server および Confluence Data Center – Atlassian Companion アプリにおける中間者攻撃 – CVE-2019-15006

概要
  • CVE-2019-15006 – Atlassian Companion アプリにおける中間者攻撃
アドバイザリの公開日
  • 2019 年 12 月 18 日 10 AM PDT (太平洋標準時刻/時差 -7 時間)
製品
  • Confluence Server
  • Confluence Data Center
影響を受ける Confluence Server バージョン
  • 6.11.0 以降
  • 6.11.x
  • 6.12.x
  • 6.13.10 (6.13.x の修正バージョン) よりも前の 6.13.x
  • 6.14.x
  • 6.15.10 (6.15.x の修正バージョン) よりも前の 6.15.x
  • 7.0.5 (7.0.x の修正バージョン) よりも前の 7.0.x
  • 7.1.2 (7.1.x の修正バージョン) よりも前の 7.1.x
  • 7.2.0 (7.2.x の修正バージョン) よりも前の 7.2.x
修正済み Confluence Serve バージョン
  • 7.2.0
  • 7.1.2
  • 7.0.5
  • 6.15.10
  • 6.13.10
CVE ID
  • CVE-2019-15006

脆弱性の概要

このアドバイザリでは、バージョン 6.11.0 の Confluence Server および Confluence Data Center で発見された 重要度 “中 (Medium)” であるセキュリティの脆弱性についてお知らせします。以下のバージョンの Confluence Server および Confluence Data Center は今回の脆弱性の影響を受けます。

Atlassian Cloud インスタンスは、本ページで解説されている問題を 含まない Confluence バージョンに すでにアップグレードされています。

Confluence Server および Confluence Data Center をバージョン 6.13.10、6.15.10、7.0.5、7.1.2、7.2.0 もしくはそれ以降にアップグレードしている場合は影響を受けません。

上述のバージョンの Confluence Server および Confluence Data Center バージョンを使用している場合、お使いの Confluence Server および Confluence Data Center インストレーションのアップグレードを直ちに行い、今回の脆弱性に対応してください。

Atlassian Companion アプリにおける中間者攻撃

重要度

セキュリティ問題に関する重要度の基準 」に従い、アトラシアンではこの脆弱性の評価を 中 (Moderate) としています。この基準では、脆弱性を重大 (Critical)、高 (High)、中 (Moderate)、または低 (Low) に分類しています。

これはアトラシアン独自の評価であり、お使いの IT 環境への適用性についてはご自身で評価してください。

説明

Confluence Server および Confluence Data Center の Confluence Previews プラグインに中間者 (MITM) 脆弱性が含まれていました。このプラグインは Atlassian Companion アプリケーションとの通信を促すために使用されていました。Confluence Server および Confluence Data Center の Confluence Previews プラグインは、atlassian-domain-for-localhost-connections-only.com ドメイン名 (つまり、127.0.0.1 を指す DNS A レコード) 経由で Atlassian Companion アプリケーションと通信を行っていました。また、このドメインの署名済み証明書は Atlassian Companion アプリケーション経由で公開されていました。攻撃者が被害者の DNS 解決を管理する立場にある場合、Confluence Server (または Confluence Data Center) と、Atlassian Companion アプリケーションが使用するはずの atlassian-domain-for-localhost-connections-only.com ドメインとの間で中間者 (MITM) 攻撃を実行できます。この証明書は失効済みですが、atlassian-domain-for-localhost-connections-only.com ドメイン名は Confluence Server および Confluence Data Center になお存在しています。攻撃者は、被害者が証明書の失効情報にアクセスできないようにすることで上述の攻撃を実行できます。そして、中間者 (MITM) 攻撃を行い、Atlassian Companion アプリケーションを使用して編集中のファイルを観察したり、それらファイルを改ざんしたり、さらには制限された範囲のユーザー情報にアクセスしたりできます。

6.11.0 以降かつ 6.13.10 よりも前 (6.13.x、6.12.x および 6.11.x の修正バージョン)、6.14.0 以降かつ 6.15.10 (6.15.x の修正バージョン) よりも前、7.0.1 以降かつ 7.0.5 (7.0.x の修正バージョン) よりも前、7.1.0 以降かつ 7.1.2 (7.1.x の修正バージョン) よりも前、7.2.0-beta1 以降かつ 7.2.0 (7.2.x の修正バージョン) よりも前のバージョンの Confluence Server および Confluence Data Center はこの脆弱性の影響を受けます。

この問題は CONFSERVER-59244 で管理されています。

謝辞

今回の脆弱性の発見は、”SwiftOnSecurity” の功績です。

修正

今回の問題に対応するために、アトラシアンは以下の Confluence Server のバージョンをリリースしました。

今回の問題に対応するために、アトラシアンは以下の Confluence Data Center のバージョンをリリースしました。

取るべき対策

アトラシアンは、最新エンタープライズ バージョン (6.13.10)、もしくは 最新バージョン へのアップグレードを推奨します。Confluence Server および Confluence Data Center の最新バージョンに関する詳細については、「Confluence リリース ノート 」を参照してください。Confluence Server および Confluence Data Center の最新エンタープライズ バージョンのダウンロードは、ダウンロード センター から行えます。

Confluence Server および Confluence Data Center の修正バージョンにアップグレードします。

(1) 現行の エンタープライズ リリース バージョン (2017 年 12 月 18 日にリリースされたエンタープライズ リリース バージョン) をお使いの場合、もしくは、それよりも古いバージョン をお使いの場合、最新エンタープライズ リリース バージョン (6.13.10) にアップグレードしてください。

使用しているエンタープライズ リリース バージョン アップグレード先となる不具合修正バージョン
6.13.x
6.12.x
6.11.x
6.13.10 (推奨)

(2) 現行のフューチャー バージョン (2019 年 06 月 18 日以降にリリースされたフューチャー バージョン) をお使いの場合、その現行のフューチャー バージョンの次の不具合修正バージョン にアップグレードしてください。

使用しているフューチャー バージョン アップグレード先となる不具合修正バージョン
7.1.x 7.1.2
7.0.x 7.0.5
6.15.x 6.15.10

(3) より古いバージョン (2019 年 06 月 18 日よりも前にリリースされたフューチャー バージョン) を使用しているが、エンタープライズ リリース バージョンにアップグレードできない場合、以下のいずれかのバージョン にアップグレードしてください。

使用しているバージョン アップグレード先となる不具合修正バージョン (いずれか)
6.14.x 6.15.10
7.0.5
7.1.2
7.2.0

軽減策

Confluence Server や Confluence Data Center を直ちにアップグレードできない場合、または Confluence Cloud に移行中 である場合、一時的な回避策 として Confluence Previews プラグインを手動でアップグレードするか、もしくは Confluence Previews プラグインで Companion アプリの統合を無効化します。

Confluence 6.13 以降を使用している場合 : Confluence Previews プラグインを手動でアップグレードする

Confluence Previews プラグインをアップグレードするには、以下の操作を行います。

  1. 以下の表を参考に、お使いの Confluence バージョンに適切な Confluence Previews プラグイン バージョンをダウンロードします。
  2. 歯車アイコンから [アプリを管理] オプションを選択します。
  3. [アップロード] オプションを選択した後、指示に従ってプラグインを手動でインストールします。

詳細については、「Marketplace アプリのインストール 」の『ファイル アップロードでインストールする』セクションを参照してください。

Confluence バージョン 修正を含む Confluence Previews プラグイン バージョン
Confluence 7.1.x confluence-previews-9.1.5
Confluence 7.0.x confluence-previews-9.0.4
Confluence 6.15.x confluence-previews-8.2.2
Confluence 6.14.x confluence-previews-8.0.7
Confluence 6.13.x (エンタープライズ リリース) confluence-previews-7.0.19

プラグインが正常にアップグレードされたことを確認するには、歯車アイコンから [アプリを管理] オプションを選択し、Confluence Previews プラグイン を検索します。一覧を展開して表示されたバージョン番号が、上述のお使いの Confluence バージョン向けプラグイン バージョンと一致していることを確認します。

Confluence 6.11 または 6.12 を使用している場合 : Companion App 統合を無効化する

これにより、”Edit with” 機能は無効化されます。Atlassian Companion App 統合を無効化するには、以下の操作を行います。

  1. 歯車アイコンから [アプリを管理] オプションを選択します。
  2. ドロップダウン メニューから [システム] オプションを選択し、次に Confluence Previews を検索します。
  3. プラグイン モジュールの一覧を展開します。
  4. 以下のプラグイン モジュールを無効化します。
    • Edit With plugin for the Media Viewer (companion-plugin)
    • Embedded ‘Edit With’ button (embedded-edit)
    • ADCClient AMD Wrapper (companion-client-wrapper)
    • Edit With button (companion-plugin-button)
    • Templates for Edit With feature (companion-plugin-templates)

Companion App 統合が正しく無効化されたことを確認するには、Confluence ページにファイルを挿入し、その Confluence ページを表示しす。次にファイルのサムネイルをクリックしてそのファイルのプレビューを表示します。“Edit with” メニューは表示されないはずです。

サポート

本アドバイザリに関する通知を受け取っておらず、かつ、このようなメールを将来受け取りたい場合は https://my.atlassian.com/email で警告メールを購読してください。

本アドバイザリに関するご質問や懸念がある場合は、http://support.atlassian.com/ でサポート チケットを作成してください。

参考

セキュリティに関するバグ修正ポリシー

アトラシアンの新しいポリシーに基づき、重大なセキュリティに関するバグ修正がバックポートされるのは「Security Bug Fix Policy 」のとおりです。新しいポリシーの対象となるバージョンに対して、バイナリ形式のパッチの代わりに新しいメンテナンス リリースが公開されます。

バイナリ形式のパッチがリリースされることはありません。

セキュリティ問題に関する重大度の基準 アトラシアンのセキュリティ アドバイザリには重大度および CVE 識別子が含まれています。この重大度は、各脆弱性に対して弊社が独自に算出した CVSS スコアに基づいています。CVSS は業界標準の脆弱性に関する指標です。CVSS に関する詳細については、FIRST.org を参照してください。
サポート終了ポリシー アトラシアンのサポート終了ポリシーは製品により異なります。詳細については、「Atlassian Support End of Life Policy 」を参照してください。
  Previous Next  

関連記事