JPCERT コーディネーションセンター

Confluence Server および Confluence Data Center における複数の脆弱性に関する注意喚起

各位

JPCERT-AT-2019-0018
JPCERT/CC
2019-04-17

JPCERT/CC Alert 2019-04-17

Confluence Server および Confluence Data Center における複数の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2019/at190018.html


I. 概要Atlassian は、2019年3月20日 (現地時間)、Confluence Server およびConfluence Data Center における複数の脆弱性 (CVE-2019-3395、CVE-2019-3396)に関するセキュリティアドバイザリを公開しました。アドバイザリによると、Confluence Server および Data Center が使用する WebDAV plugin にはサーバサイドリクエストフォージェリーの脆弱性があり、また Widget Connector
にはサーバサイドテンプレートインジェクションの脆弱性があるとのことです。本脆弱性を悪用することで、遠隔の第三者が任意のコードを実行するなどの可能性があります。脆弱性の詳細については、Atlassian の情報を確認してください。

Atlassian
Confluence Security Advisory - 2019-03-20
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html

JPCERT/CC は、Widget Connector における脆弱性 (CVE-2019-3396) を実証するとされるコードを確認しております。また、国内での被害に関する情報も確認していることから、本件に関する注意喚起を発行することにいたしました。


II. 対象対象となる製品とバージョンは次のとおりです。

- Confluence Server および Data Center 6.14.2 より前の 6.14 系のバージョン
- Confluence Server および Data Center 6.13.3 より前の 6.13 系のバージョン
- Confluence Server および Data Center 6.12.3 より前の 6.12 系のバージョン
- Confluence Server および Data Center 6.11 系のバージョン
- Confluence Server および Data Center 6.10 系のバージョン
- Confluence Server および Data Center 6.9 系のバージョン
- Confluence Server および Data Center 6.8 系のバージョン
- Confluence Server および Data Center 6.7 系のバージョン
- Confluence Server および Data Center 6.6.12 より前の 6.6 系のバージョン
- Confluence Server および Data Center 6.5 系のバージョン
- Confluence Server および Data Center 6.4 系のバージョン
- Confluence Server および Data Center 6.3 系のバージョン
- Confluence Server および Data Center 6.2 系のバージョン

なお、既にサポートが終了している、Confluence Server および Data Center6.1 系以前のバージョンも本脆弱性の影響を受けるとのことです。


III. 対策Atlassian より本脆弱性を修正したバージョンの Confluence Server およびData Center が公開されています。十分なテストを実施の上、修正済みバージョンを適用することをお勧めします。修正済みのバージョンは、次のとおりです。

- Confluence Server および Data Center 6.15.1
- Confluence Server および Data Center 6.14.2
- Confluence Server および Data Center 6.13.3
- Confluence Server および Data Center 6.12.3
- Confluence Server および Data Center 6.6.12

Atlassian では、本脆弱性の影響を受けない最新バージョンの ConfluenceServer および Data Center 6.15.1 へのアップグレードを推奨しています。また、6.7 系から 6.11 系までのバージョンや、6.5 系およびそれ以前のバージョンを使用している場合は、上記の修正済みのバージョンのいずれかに、アップグレードすることが推奨されています。


IV. 回避策Confluence Server および Data Center に修正済みバージョンを適用することが難しい場合、一時的な回避策として、次のプラグインを無効化することがAtlassian から推奨されています。

- WebDAV plugin
- Widget Connector

詳細は、Atlassian の情報を確認してください。


V. 参考情報
Atlassian
Confluence Security Advisory - 2019-03-20
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html

Atlassian
Atlassian Support End of Life Policy
https://confluence.atlassian.com/support/atlassian-support-end-of-life-policy-201851003.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-6271-8901 FAX: 03-6271-8908
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter