Page tree

Contents

  • バージョン 6.6.12, 6.12.3, 6.13.3, 6.14.2 へアップグレードした Confluence Server や Data Center の場合は影響をうけません。
  • Confluence Cloud を利用しているお客様へは影響はありません。


詳細情報

注意

2014年9月以降、バグフィックス用のパッチは発行されていません。代わりに、バグフィックスを含む新しいバージョンをリリースします。

Summary
  • CVE-2019-3395

  • CVE-2019-3396

Confluence Server -  WebDAV and Widget Connector Vulnerabilities

Advisory Release Date

10:00 AM PDT (Pacific Time, -7 hours)

Products

  • Confluence Server

  • Confluence Data Center
Affected Versions
  • 1.x.x, 2.x.x, 3.x.x, 4.x.x 5.x.x

  • 6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x すべて

  • 6. 6.12より前のすべての 6.6.x

  • 6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x すべて

  • 6.12.3より前の 6.12.xすべて

  • 6.13.3より前の 6.13.xすべて

  • 6.14.2より前の 6.14.xすべて

Fixed Versions
  • 6. 6.12 以降の 6. 6. x
  • 6.12.3 以降の 6.12.x

  • 6.13.3 以降の 6.13.x

  • 6.14.2 以降の 6.14.x

CVE ID(s)
  • CVE-2019-3395
  • CVE-2019-3396

脆弱性の概要

このアドバイザリでは、 Confluence Server と Confluence Data Centerに含まれる2つの重大な脆弱性について説明します。


以下のConfluence Server やData Centerバージョンをダウンロードしてインストールしているお客様は影響を受けます:

  • 1.x.x, 2.x.x, 3.x.x, 4.x.x 5.x.x

  • 6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x すべて

  • 6. 6.12より前のすべての 6.6.x

  • 6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x すべて

  • 6.12.3より前の 6.12.xすべて

  • 6.13.3より前の 6.13.xすべて

  • 6.14.2より前の 6.14.xすべて

脆弱性を修正するために、ただちにConfluence Server やData Centerをアップグレードしてください。

WebDAV vulnerability (CVE-2019-3395) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

2018/6/18以前にリリースされた Confluence Server と Data Center のバージョンは、この脆弱性(CVE-2019-3395)の影響をうけます。リモートの攻撃者が、WebDAV pluginを経由してサーバーサイドのリクエスト偽造(SSRF)の脆弱性を利用し、  Confluence Server や Data Centerのインスタンスから任意のHTTPやWebDAVリクエストを送信できます。

ver. 6.6.7より前のすべて、ver.6.7.0から 6.8.5より前、ver.6.9.0から 6.9.3より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。

この問題はこの課題で追跡できます。:  https://jira.atlassian.com/browse/CONFSERVER-57971 CLOSEDCLOSED

謝辞

この脆弱性は、Assetnote (https://assetnote.io)社のShubham Shahと DEVCORE (https://devco.re)のOrange Tsai により発見されました。

Widget Connector vulnerability (CVE-2019-3396) について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル(critical)と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

2019/3/7以前にリリースされた Confluence Server と Data Center のバージョンは、この脆弱性(CVE-2019-3396)の影響をうけます。 Confluence Server とConfluence Data Centerで、Widget Connector を経由した 引数インジェクションの脆弱性があります。攻撃者がこの問題を悪用して、 Confluence Server や Data Centerのインスタンス上で サーバーサイドのテンプレートのインジェクション、ディレクトリトラバーサル(アクセス禁止のディレクトリや移動する)や リモートコードの実行を達成できます。

ver. 6.6.12より前のすべて、ver.6.7.0から 6.12.3より前、ver.6.13.0から 6.13.13より前、ver.6.14.0から 6.14.2より前のバージョンのConfluence Server と Confluence Data Center が影響を受けます。

この問題はこの課題で追跡できます。:  https://jira.atlassian.com/browse/CONFSERVER-57974  CLOSED

謝辞

この脆弱性は、Daniil Dmitriev (https://twitter.com/ddv_ua)によって発見されました。

修正

Atlassian社はこの問題に対処するため以下の対策を施しました。

あなたにしてほしいこと

Atlassianは、Confluence最新版 (6.14.2)へアップグレードを推奨します。Confluence Serverの最新バージョンの詳細の説明については、リリースノート をご確認ください。Confluence Serverの最新バージョンは、AtlassianのWebサイト からダウンロードできます。

最新バージョン(6.14.2)へアップグレードできない場合は:

(1) ご利用バージョンが 新しい feature release version (2018/10/2以降リリース) の場合は、 現在の feature release versionの 次の バグフィックスバージョンへアップグレードしてください。

以下の feature release versionを利用している場合は...

…以下のバグフィックスバージョンへアップグレードする:

6.12.0, 6.12.1, 6.12.2

6.12.3

6.14.0, 6.14.1

6.14.2

(2) ご利用バージョンが enterprise release version (2017/12/12以降リリースのenterprise release version) の場合は、ご利用のenterprise release versionの最新版へアップグレードしてください。 

以下の enterprise release versionを利用している場合は...

…以下のバージョンへアップグレードする:

6.6.0, 6.6.1, 6.6.2, 6.6.3, 6.6.4, 6.6.5, 6.6.6, 6.6.7, 6.6.8, 6.6.9, 6.6.10, 6.6.11

6.6.12

6.13.0, 6.13.1, 6.13.2

6.13.3

(3) 古いバージョン(2018/10/2以前のfeature release version や 2017/12/12以前のenterprise release version)をご利用の場合は、Confluence Server (Data Center)の最新バージョンか、enterprise release版の最新バージョンへアップグレードしてください。

以下の 古いバージョンを利用している場合は…

…以下のいずれかにアップグレードする:

1.x.x

2.x.x

3.x.x

4.x.x

5.x.x

6.1.x, 6.2.x, 6.3.x, 6.4.x, 6.5.x

6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x

6.14.2

6.13.3

6.6.12

緩和策

すぐにConfluenceのアップグレードができない場合は、一時的な対応策として > アプリ(アドオン)の管理 より、以下のConfluecneのシステムプラグインを無効にします。 

  • WebDAV plugin
  • Widget Connector

 Confluenceをアップグレード後に、これらのプラグインを再有効化します。

サポート

もしこのアドバイザリのメールが届かなく、今後メールの受け取りを希望する場合は、https://my.atlassian.com/email より Alerts emailを購読してください。

  • No labels

This page has no comments.