Kritická zranitelnost pro Confluence Data Center a Server 2022-06-02
Confluence Server and Data Center - CVE-2022-26134 - Critical severity unauthenticated remote code execution vulnerability
Společnost Atlassian vydala upozornění na kritickou zranitelnost, která se týká Confluence a umožňuje spustit škodlivý kód zasláním příkazu vně vaší instance a to i pokud není útočník autorizovaný. Chyba již může být zneužita. Doporučujeme tedy přijmout doporučené bezpečnostní opatření nebo přejít na novější verzi Confluence, kde je již záplata obsažena.
Confluence Data Center a Server
Ovlivněné jsou následující verze:
Všechny verze do 7.18 a Long Term Support do 7.13.6 (v době vydání upozornění). Obecně všechny verze s nižším číslem, než ty, pro které byl vydán fix - viz níže, jsou dotčeny.
Mitigace
Záplatovaná verze je již k dispozici. Pro Confluence 6.x a starší není bohužel oprava k dispozici. Následující verze řeší tuto zranitelnost a byly vydány 3. 6. 2022:
- 7.4.17
- 7.13.7
- 7.14.3
- 7.15.2
- 7.16.4
- 7.17.4
- 7.18.1
Doporučujeme přejít na verze zmíněné výše co nejdříve.
Průběžný vývoj situace lze sledovat zde: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Workaround
Do doby, než bude k dispozici záplata, je doporučeno omezit přístup na vaši instanci z internetu (vnější sítě), popřípadě aplikovat na váš firewall pravidlo blokující url s kombinací znaků $ {
.
Pro Conluence 7.15.x - 7.18.x
Případně použít speciálně upravený soubor xwork-1.0.3-atlassian-10.jar
, který je potřeba nahradit přímo na aplikačním serveru, kde je Confluence nainstalovaná. Je nutné vypnout Confluence a poté znovu nastartovat. Dostupný je zde: https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
Cesta k souboru:
Pro Confluence 7.0.0 - Confluence 7.14.2
Je nutné vyměnit tři soubory a vytvořit nový adresář:
- xwork-1.0.3-atlassian-10.jar
- webwork-2.1.5-atlassian-4.jar
- CachedConfigurationProvider.class
Podrobnější informace o postupu lze nalézt zde (anglicky).
Pro starší verze není záplata ani workaround k dispozici - je nutné přejít na verzi 7.x nebo provozovat aplikační server pouze ve vnitřní síti.
Chcete poradit nebo pomoci s upgradem a nastavením Confluence? Neváhejte se na nás obrátit a kontaktujte nás.
Sdílejte