2019/04/26
Confluence Server / DataCenterで心がときめかないお話(脆弱性、Confluence7の廃止予定機能について)
Author
大崎 健吾Kengo Ohsaki
こんにちは。リックソフトの大崎です。
来週はゴールデンウイークですね。一昨年のGW前に書いた記事「アトラシアン認定資格に挑戦してみよう!」を確認ついでに資格状況確認していたら
どうやら自分がAtlassian Certified Master(ACM)になっていることに気づきました。4つのACP資格を持っていると貰えるバッチのようです。
Earning any four ACP-level Certifications will gain you recognition as an Atlassian Certified Master (ACM). Your ACM status will be valid as long as your underlying certifications are active.
リックソフトでも有志による勉強会のおかげでACP資格保有者が年々増えてきていますが、今のところAtlassian Certified Master(ACM)は自分だけのようです。
専用のT-シャツが貰えるみたいなので申し込んでみました。ちなみにAtlassianのグッズはこちらでも購入できます。
前説が長くなりましたが今日は Confluence Server/DataCenter であまり「心がときめかない」お話をしたいと思います。
Confluence Server/DataCenterの脆弱性について
先日Atlassian社、リックソフトよりメールにてご案内いたしましたが、残念なことに Confluence Server / DataCenter で重篤な脆弱性に関する報告が相次いでありました。
Confluence Security Advisory 2019-03-20 (日本語訳) – お知らせ – サポートドキュメント
- WebDAV vulnerability (CVE-2019-3395)
- Widget Connector vulnerability (CVE-2019-3396)
Confluence Security Advisory 2019-04-17 (日本語訳) – お知らせ – サポートドキュメント
- Path traversal in the downloadallattachments resource vulnerability (CVE-2019-3398)
また弊社よりお客様に個別にご案内しております、Confluenceの「すべてダウンロード」機能の文字化け対応パッチアドオン(以下 Download All Attachments Extension for Confluence (ja_JP) )についても
Confluence Security Advisory 2019-04-17(CVE-2019-3398) と同様の脆弱性が確認されました。
3件の脆弱性について根本的な対応には修正バージョンにアップグレードが必要となります。
Download All Attachments Extension for Confluence (ja_JP) のアドオンについてはアップグレードが必要となります。
直ぐにアップグレードが難しい場合は、一時的な回避策として脆弱性がある機能を無効化する緩和策が用意されていますので、上記報告内容をご確認のうえご対応をお願い致します。
特にWidget Connector vulnerability (CVE-2019-3396) については極めて深刻で、攻撃者がConfluence Server/DataCenter にhttp(s)でアクセス可能であれば、Confluenceへのログイン権限不要で攻撃することが可能です。
脆弱性が悪用されたと思われる事例が弊社、Atlassian コミュニティなどで報告されております。
- khugepageds eating all of the CPU
- How come my confluence installation was hacked by Kerberods malware?
3件の脆弱性はすべてConfluence Server/DataCenter にhttp(s)で攻撃者がアクセス可能であることが前提となります。
そのため、Confluence Server/DataCenter の利用者が社内など特定拠点に限られるのであれば、ファイアウォールなどでのIP制限を実施頂くことを強くお勧めします。
リックソフトで運用しているRickCloudではIP制限、クライアント証明書によるアクセス制限オプションをご用意しておりますので是非ともご相談ください。
但しIP制限などアクセス制限を実施しているから、必ずしも問題ないと捉えることはできません。
- 社内のユーザーが脆弱性を悪用する または 出来心で攻撃ができるか試す
- 社内のPCがすでにハッキングされてそのPC経由で攻撃される
- VPNを使って会社外のPCからConfluenceにアクセスしており、そのVPNが悪用されている
…など中から攻撃される危険性もあります。
来週よりゴールデンウイークで10連休の長期休暇という方も多いかと思いますが、長期休暇前に対応漏れがないか再点検をお願い致します。
またConfluenceに限らず、今後も何らかの製品脆弱性が報告されることは間違いないと考えております。
これまた去年のGW前に書いた記事になりますが「Atlassian製品は定期的にバージョンアップをしましょう」の通り、定期的なバージョンアップをお勧めします。
製品脆弱性についてご迷惑をおかけして申し訳ございませんが、脆弱性に関してご不明な点等がございましたら、リックソフトヘルプデスクまでお問い合わせください。
Confluence Server/DataCenter 7.0の廃止予定機能について
ついにJira 8.0がリリースされました(主な改善点)の通り Jira 8.0 が今年の2月にリリースされておりますが、Confluence 7.0 もEAPが進んでおりそろそろリリースされるのではと考えております。
Atlassian 製品には、プラットフォーム、フィーチャー、およびバグ修正の 3 つのリリース タイプがあり、Jira 8.0やConfluence 7.0のように1桁目が変わるリリースをプラットフォーム リリースとしています。
プラットフォーム リリースには、重大な変更や大幅な変更が含まれており、既存の API の変更や削除、ユーザー エクスペリエンスの重大な変更、主要な機能の削除などが含まれています。
リリースに関する用語の詳細については、リリースに関する用語集をご参照ください。
では Confluence 7.0 でどのような変更が予定されているあるかという詳細は以下ドキュメントをご確認ください。
EAPの開発版であり正式リリースではないため予定から変更される場合がございますのでご留意ください。
残念ながら、Confluence 7.0 では使用頻度の低い機能やパフォーマンスが悪い機能の削除などの大きな変更を行う予定があるようです。
特にエンドユーザーに影響があるのはマクロになるかと思います。
Confluence 7.0 でサポートが終了するが、機能としては引き続き利用はできるマクロがある一方、JUnit レポート マクロ のようにマクロの機能が削除されるものがあります。
もしマクロの機能が製品から削除されると使用しているページでは「不明なマクロ(英語の場合 unknown-macro)」メッセージが表示されます。
残念ながらもしマクロの機能が削除されるとなると、技術的には同じような機能をアドオンとして別途開発するしか現状維持はできません。
サポート終了するマクロについては、どのような形で引き続き機能が提供されるか詳細はリリースされないと不明ですが
おそらくは既に該当のマクロを使用しているページは問題なく、ページ編集画面のツールバーのマクロ一覧に表示されない形になるかとは考えております。
改めて正式にリリースされましたらご確認をお願いいたします。
Confluence Server/DataCenter のサポート終了予定の情報については、以下にもまとまっておりますのでご確認ください。
前述のとおり製品脆弱性のためバージョンアップする場合もあるかと思いますが、プラットフォームリリースが変わるバージョンを選択すると利用ユーザーに何らかの影響が起きる可能性もありますので
目標とするバージョンを決める際には、リリースノートを改めてご確認の上決定をお願い致します。
バージョンアップ作業に不安を感じる時は…
リックソフトでは数多くのバージョンアップ作業を手掛けてきておりますので、バージョンアップ時に起きる不具合やその対応方法のノウハウを持っております。
リックソフトに在籍する経験豊富なAtlassian製品の専任技術者がお客様に代わってバージョンアップ作業をすることもできますので、お気軽にご相談いただければと思います。
最後に、こんまり(KonMari)こと近藤 麻理恵さんが世界的にブームということで、Confluenceのコンテンツの整理方法について近藤麻理恵さんの手法を取り入れたコンテンツ整理ガイドがあるようなのでチェックです。
それではよいゴールデンウィークを!
