Zpět

Kritická zranitelnost pro Confluence Data Center a Server 2022-06-02

6. 6. 2022

Confluence Server and Data Center - CVE-2022-26134 - Critical severity unauthenticated remote code execution vulnerability

Společnost Atlassian vydala upozornění na kritickou zranitelnost, která se týká Confluence a umožňuje spustit škodlivý kód zasláním příkazu vně vaší instance a to i pokud není útočník autorizovaný. Chyba již může být zneužita. Doporučujeme tedy přijmout doporučené bezpečnostní opatření nebo přejít na novější verzi Confluence, kde je již záplata obsažena.

Confluence Data Center a Server

Ovlivněné jsou následující verze:

Všechny verze do 7.18 a Long Term Support do 7.13.6 (v době vydání upozornění). Obecně všechny verze s nižším číslem, než ty, pro které byl vydán fix - viz níže, jsou dotčeny.

 

Mitigace

 

Záplatovaná verze je již k dispozici. Pro Confluence 6.x a starší není bohužel oprava k dispozici. Následující verze řeší tuto zranitelnost a byly vydány 3. 6. 2022:

  • 7.4.17
  • 7.13.7
  • 7.14.3
  • 7.15.2
  • 7.16.4
  • 7.17.4
  • 7.18.1

 

Doporučujeme přejít na verze zmíněné výše co nejdříve.

 

Průběžný vývoj situace lze sledovat zde: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Workaround

Do doby, než bude k dispozici záplata, je doporučeno omezit přístup na vaši instanci z internetu (vnější sítě), popřípadě aplikovat na váš firewall pravidlo blokující url s kombinací znaků $ {.

Pro Conluence 7.15.x - 7.18.x

Případně použít speciálně upravený soubor xwork-1.0.3-atlassian-10.jar, který je potřeba nahradit přímo na aplikačním serveru, kde je Confluence nainstalovaná. Je nutné vypnout Confluence a poté znovu nastartovat. Dostupný je zde: https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar

 

Cesta k souboru:

 

<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

Pro Confluence 7.0.0 - Confluence 7.14.2

Je nutné vyměnit tři soubory a vytvořit nový adresář:

  • xwork-1.0.3-atlassian-10.jar
  • webwork-2.1.5-atlassian-4.jar
  • CachedConfigurationProvider.class

 

Podrobnější informace o postupu lze nalézt zde (anglicky).

 

 

Pro starší verze není záplata ani workaround k dispozici - je nutné přejít na verzi 7.x nebo provozovat aplikační server pouze ve vnitřní síti.

 

 

Chcete poradit nebo pomoci s upgradem a nastavením Confluence? Neváhejte se na nás obrátit a kontaktujte nás na atlassian@onlioaps.com