Author
樋口 晃Akira Higuchi
Confluence 3.4 がリリースされました。と、同時に Confluence のSecurity Advisory がリリースされました。
http://confluence.atlassian.com/display/DOC/Confluence+Security+Advisory+2010-10-12
今回報告されている脆弱性は、 XSS(Cross Site Scripting)です。本Wikiも一般に広く公開している、Confluence ですので対策が必要です。対策としては以下の2つから選択できます。
- Confluence 3.4 にバージョンアップする。
- 提供されているパッチを適用する。
本Wikiで利用しているプラグインで、まだ3.4に対応していない物が有りますので、今回はパッチを適用する事としました。
パッチの適用手順
パッチの適用には、
- プラグインのバージョンアップ
- Confluence のパッチ適用
の2つのステップが必要です。
プラグインのバージョンアップ
対象のプラグインは以下の2つです。
| plugin | 旧バージョン | 対策バージョン |
|---|---|---|
| Documentation Theme Plugin | 3.3 | 3.3.1 |
| Dynamic Tasklist 2 plugin | 1.2.1 | 1.2.2 |
私達のWikiには、Universal Plugin Manager(UPM)がセットアップされています。本来であれば、ここでUpgrade ボタンを押すだけで作業は完了となる筈ですが、今回はエラーになってしまったので、これまで通り、Plugin Repository で更新しました。下記の画面は、更新後のプラグイン管理画面です。
Confluenceのパッチ適用
3.3用のパッチは、Security Advisoryのページから入手できますので、confluence-3.3.3-to-3.4-security-patch.zip を入手します。解凍すると、
drwxr-xr-x 3 higuak higuak 4096 2010-10-07 14:35 WEB-INF
-rw-r--r-- 1 higuak higuak 45685 2010-10-13 14:55 confluence-3.3.3-to-3.4-security-patch.zip
drwxr-xr-x 2 higuak higuak 4096 2010-10-07 10:19 decorators
drwxr-xr-x 3 higuak higuak 4096 2010-10-07 14:35 includes
drwxr-xr-x 2 higuak higuak 4096 2010-10-07 10:19 pages
drwxr-xr-x 3 higuak higuak 4096 2010-10-07 10:19 template
となっておりました。当Wikiは、EAR/WAR版で運用していますので、 上記の解凍したファイルで既存のファイルを更新しました。更新後は再起動すれば作業は完了です。
お疲れさまでした。おうちに帰ります。