-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位
                                                   JPCERT-AT-2019-0018
                                                             JPCERT/CC
                                                            2019-04-17

                  <<< JPCERT/CC Alert 2019-04-17 >>>

Confluence Server および Confluence Data Center における複数の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2019/at190018.html


I. 概要
Atlassian は、2019年3月20日 (現地時間)、Confluence Server および
Confluence Data Center における複数の脆弱性 (CVE-2019-3395、CVE-2019-3396)
に関するセキュリティアドバイザリを公開しました。アドバイザリによると、
Confluence Server および Data Center が使用する WebDAV plugin にはサー
バサイドリクエストフォージェリーの脆弱性があり、また Widget Connector 
にはサーバサイドテンプレートインジェクションの脆弱性があるとのことです。
本脆弱性を悪用することで、遠隔の第三者が任意のコードを実行するなどの可
能性があります。脆弱性の詳細については、Atlassian の情報を確認してくだ
さい。

    Atlassian
    Confluence Security Advisory - 2019-03-20
    https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html

JPCERT/CC は、Widget Connector における脆弱性 (CVE-2019-3396) を実証す
るとされるコードを確認しております。また、国内での被害に関する情報も確
認していることから、本件に関する注意喚起を発行することにいたしました。


II. 対象
対象となる製品とバージョンは次のとおりです。

 - Confluence Server および Data Center 6.14.2 より前の 6.14 系のバージョン
 - Confluence Server および Data Center 6.13.3 より前の 6.13 系のバージョン
 - Confluence Server および Data Center 6.12.3 より前の 6.12 系のバージョン
 - Confluence Server および Data Center 6.11 系のバージョン
 - Confluence Server および Data Center 6.10 系のバージョン
 - Confluence Server および Data Center 6.9 系のバージョン
 - Confluence Server および Data Center 6.8 系のバージョン
 - Confluence Server および Data Center 6.7 系のバージョン
 - Confluence Server および Data Center 6.6.12 より前の 6.6 系のバージョン
 - Confluence Server および Data Center 6.5 系のバージョン
 - Confluence Server および Data Center 6.4 系のバージョン
 - Confluence Server および Data Center 6.3 系のバージョン
 - Confluence Server および Data Center 6.2 系のバージョン

なお、既にサポートが終了している、Confluence Server および Data Center
6.1 系以前のバージョンも本脆弱性の影響を受けるとのことです。


III. 対策
Atlassian より本脆弱性を修正したバージョンの Confluence Server および
Data Center が公開されています。十分なテストを実施の上、修正済みバー
ジョンを適用することをお勧めします。修正済みのバージョンは、次のとおり
です。

 - Confluence Server および Data Center 6.15.1
 - Confluence Server および Data Center 6.14.2
 - Confluence Server および Data Center 6.13.3
 - Confluence Server および Data Center 6.12.3
 - Confluence Server および Data Center 6.6.12

Atlassian では、本脆弱性の影響を受けない最新バージョンの Confluence
Server および Data Center 6.15.1 へのアップグレードを推奨しています。
また、6.7 系から 6.11 系までのバージョンや、6.5 系およびそれ以前のバー
ジョンを使用している場合は、上記の修正済みのバージョンのいずれかに、
アップグレードすることが推奨されています。


IV. 回避策
Confluence Server および Data Center に修正済みバージョンを適用するこ
とが難しい場合、一時的な回避策として、次のプラグインを無効化することが
Atlassian から推奨されています。

 - WebDAV plugin
 - Widget Connector

詳細は、Atlassian の情報を確認してください。


V. 参考情報
    Atlassian
    Confluence Security Advisory - 2019-03-20
    https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html

    Atlassian
    Atlassian Support End of Life Policy
    https://confluence.atlassian.com/support/atlassian-support-end-of-life-policy-201851003.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901  FAX: 03-6271-8908
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJctr/YAAoJEDF9l6Rp7OBIw6UH/jP3oXjvNKGe2YeK9hQNQVRe
I/kMmXja56B9Ahv5Zur54UiZC9q3Jd0Atjkh1e8KhpSB7dGbkKp9+mUSyer9ao0U
4VkOOelgco6UXt+d9ly2clVXRYznoRlCCIva7fjLpz/yK47IzTmErbMwvuYqHg0A
g9Ahh57asiuCQiRDcPLPoGanM+U4nAiROZdpdIaASI8/zv7ZrmhvaapHg/ugCekk
+oVGHc6xZUaeulgf0a235G2eAhVmvQ3Nwj6vX74kQJPqKrVearP08n2HB7/SOpIO
vUDq3vutH6SZb7wC0pt6AnECY/GdtmITGbSONk8P91hl7/jWP//EHBnhPSmQkhU=
=5SFH
-----END PGP SIGNATURE-----