2011/04/06
Confluence Security Advisory 2011-03-24
Author
樋口 晃Akira Higuchi
アトラシアンから、Confluence の脆弱性対応アップグレードがリリースされました。当 Confluence (3.3.3) に適用しましたので、手順を報告します。
セキュリティ脆弱性の内容
Atlassianリリース:Confluence Security Advisory 2011-03-24
今回発見されたセキュリティ脆弱性は XSS (クロスサイト・スクリプティング)で、Atlassian社により重大度は HIGH (4段階評価の上から2番目) とされています。インターネットから接続可能な Confluence を運用している方はパッチの適用をお勧めします。
影響範囲
Confluence 3,4,8 以前(3.4.8も含む)が対象です。
今回の脆弱性はプラグインの問題なので、以下のプラグインをアップグレード します。
対象プラグイン一覧
| プラグイン | 機能 | 課題 | 現行バージョン | 対応バージョン | 管理画面にてダウンロード&インストール |
|---|---|---|---|---|---|
| Confluence Attachments Macro | Action links of attachments lists | CONF-21766 | 2.19 | 2.20 | 可能 |
| Confluence Activity Stream Plugin | Activity Stream gadget | CONF-21606 | 3.3 | 3.3.21606-fix | NG |
| Advanced Macros | Include Page macro | CONF-21604 | 1.9 | 1.9.3 | 可能 |
| Table of Contents Plugin | Table of Contents macro | CONF-21819 | 2.4.11 | 2.4.12 | 可能 |
アップグレード手順
今回対象の4つのプラグインのうち、Confluence Activity Stream Plugin 以外は、管理画面にてダウンロードとアップグレードが可能です。Confluence Activity Stream Pluginは、ファイルを jira.atlassian.com より取得してインストールします。Confluence サーバーがインターネットに接続されていない場合も、このやり方でアップグレードして下さい。
ワンクリックでアップグレード
ここでは、標準の Atlassian Plugin Repository によるアップグレード手順をご紹介します。Universal Plugin Manager (Confluence 3.4から標準。3.3まではプラグインとしてインストール可能) でも同様にできますので、Universal Plugin Managerをインストール済みの方はそちらをご利用下さい。Audit Logが残るので便利です。
- 管理者権限のユーザーで Confluence にログインします。
- 管理画面の 構成→ Plugin Repository を選択します。
- Available Plugins タブで、ドロップダウンメニューから Outdated Plguins を選択し、下記の画面を表示します。
- 今回の処理対象の Confluence Advanced Macros を展開すると、下記画面が表示され、1.9.3へアップグレードが可能である事が解ります。
- ここで、 upgrade リンクをクリックすると、下記のように プログレスバーが表示されダウンロードとアップグレードが実施されます。
- アップグレードが完了すると、当該プラグインは Outdated では無くなるので、一覧から消えます。ドロップダウンメニューを Insltalled Plugins に変更して、1.9.3 になっている事を確認して下さい。
- 同様の手順で Confluence Attachments Macro と、Table of Contents Plugin もアップグレードします。
JAR ファイルをアップロードしてアップグレード
Atlassian の Plugin Exchangeに登録されている場合は、上記の手順でできますが Confluence Activity Stream Plugin はまだ登録されていないので、JARファイルを入手してConfluenceにアップロードする必要が有ります。また、Confluence サーバーががインターネットに接続されていない場合も、こちらの手順でお願いします。
JARファイルの入手
このページの最初の表:対象プラグイン一覧の課題列のリンクを辿って http://jira.atlassian.com/ にアクセスし、JAR ファイル(streams-confluence-plugin-3.3-CONF-21606.jar)をダウンロードします。
JARファイルをアップロード
- 管理者権限のユーザーで Confluence にログインします。
- 管理画面の 構成→ プラグインを選択します。
参照ボタンを押して、入手したJARファイルをアップロードを選択し、「アップロード」ボタンを押します。 - アップロードが成功すると、下記の画面が表示されます。
動作確認
絶対に必要という訳では無いのですが、念のたアップグレードした各機能の動作確認手順です。
Include Page macro
ページ全体をページの一部として取り込むマクロです。下記の例ようなマクロを編集して確認して下さい。ページタイトルは、同一スペース内のページを指定して下さい。別スペースのページを取り込む場合は スペースキー:ページタイトル とします。
{include:ページタイトル}
Activity Stream gadget
Confluence の 直近の変更履歴を表示するガジェットです。Confluenceのページにて利用します。サンプルは以下のようになります。
{gadget:url=rest/gadgets/1.0/g/com.atlassian.streams.confluence:activitystream-gadget/
gadgets/conf-activitystream-gadget.xml}
title=Ativitiy&keys=&username=&numofentries=10&isConfigured=true&refresh=false
{gadget}
パラメータを選択するのは面倒なので、マクロブラウザーをお勧めします。
- 編集画面にてマクロブラウザーを起動。
- マクロの選択画面にて、外部コンテンツを選択し、「アクティビティーストリーム」を選択します。
- マクロの挿入画面にてパラメータを入力して Save ボタンを押し、プレビューで結果を確認します。問題無ければ、挿入ボタンでページに挿入できます。プレビュー画面では「プロジェクト」と表示されますが、実際にはスペースです。
Action links of attachments lists
以下のマクロで添付ファイルの一覧を確認します。
{attachments}
Table of Contents macro
以下のマクロで、ページ内の段落を確認します。
{toc}
マクロの実行例
