欢迎光临散文网 会员登陆 & 注册

警惕!Atlassian Confluence远程代码执行漏洞通告

2022-06-08 09:25 作者:亚信安全  | 我要投稿

漏洞描述

近日,亚信安全CERT监测到Confluence远程代码执行漏洞(CVE-2022-26134)的在野利用。该漏洞影响Confluence Server和Confluence Data Center,经过身份认证(某些场景无需身份认证)的攻击者,可利用该漏洞进行OGNL注入,在远程服务器上执行任意代码,进而控制服务器。经亚信安全CERT技术研判,该漏洞范围较大且目前在野利用,目前官方已发布漏洞补丁,建议使用Atlassian Confluence的用户尽快自查并修复漏洞。

Atlassian Confluence Server是一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi,其客户遍布全球,目前有超过75,000家客户使用该产品。


漏洞编号及评分

CVE-2022-26134(CVSS V3:9.8


漏洞状态:

漏洞细节--已公开

漏洞PoC--已公开

漏洞EXP--已公开

在野利用--存在


亚信安全产品解决方案

亚信安全信桅深度威胁发现设备(TDA)已经支持对上述提及漏洞的检测:

产品TDA

版本号6.0 7.0

规则包版本1.0.0.114 1.0.0.116


漏洞复现


受影响的版本

Atlassian Confluence Server and Data Center < 7.4.17

Atlassian Confluence Server and Data Center < 7.13.7

Atlassian Confluence Server and Data Center < 7.14.3

Atlassian Confluence Server and Data Center < 7.15.2

Atlassian Confluence Server and Data Center < 7.16.4

Atlassian Confluence Server and Data Center < 7.17.4

Atlassian Confluence Server and Data Center < 7.18.1


修复建议

官方补丁

🔹Atlassian Confluence Server and Data Center 7.4.17

🔹Atlassian Confluence Server and Data Center 7.13.7

🔹Atlassian Confluence Server and Data Center 7.14.3

🔹Atlassian Confluence Server and Data Center 7.15.2

🔹Atlassian Confluence Server and Data Center 7.16.4

🔹Atlassian Confluence Server and Data Center 7.17.4

🔹Atlassian Confluence Server and Data Center 7.18.1

下载地址:

https://www.atlassian.com/software/confluence/download-archives

临时修复方案

  • WAF设置阻止包含 ${ 的URL的规则

  • 限制从互联网直接访问Confluence Server和Data Center实例

官方缓解措施

向上滑动阅览

对于 Confluence 7.15.0 - 7.18.0

如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施

  1. 关闭Confluence

  2. 将以下1个文件下载到Confluence服务器:

    xwork-1.0.3-atlassian-10.jar

  3. 删除(或将以下JAR移出Confluence安装目录):

    Plaintext

    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

注意:不要在目录中留下这个旧JAR 的副本。

  1. 将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/

  2. 检查新xwork-1.0.3-atlassian-10.jar文件的权限和所有权是否与同一目录中的现有文件匹配。

  3. 启动Confluence

    请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。

对于 Confluence 7.0.0 - Confluence 7.14.2

如果在集群中运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可应用此缓解措施。

  1. 关闭Confluence

  2. 将以下3个文件下载到Confluence服务器:

    xwork-1.0.3-atlassian-10.jar

    CachedConfigurationProvider.class

    webwork-2.1.5-atlassian-4.jar

  3. 删除(或将以下JAR移到Confluence安装目录之外):

    Plaintext
    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
    <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

注意:不要在目录中留下旧JAR的副本

  1. 将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/

  2. 将下载的webwork-2.1.5-atlassian-4.jar复制到<confluence-install>/confluence/WEB-INF/lib/

  3. 检查两个新文件的权限和所有权是否与同一目录中的现有文件匹配。

  4. 切换到目录<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup

    a.创建一个名为的新目录webwork

    b.将CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

    c.确保权限和所有权正确:

    Plaintext

    <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

    Plaintext

    <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

  5. 启动Confluence

    请记住,如果在集群中运行Confluence,请确保在所有节点上应用上述更新。


标签:

警惕!Atlassian Confluence远程代码执行漏洞通告的评论 (共 条)

分享到微博请遵守国家法律