股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
警惕!Atlassian Confluence遠(yuǎn)程代码执行漏洞通告
发布时间 :2022年06月07日
分(fēn)享:
漏洞描述
近日,亚信安(ān)全CERT监测到Confluence遠(yuǎn)程代码执行漏洞(CVE-2022-26134)的在野利用(yòng)。该漏洞影响Confluence Server和Confluence Data Center,经过身份认证(某些场景无需身份认证)的攻击者,可(kě)利用(yòng)该漏洞进行OGNL注入,在遠(yuǎn)程服務(wù)器上执行任意代码,进而控制服務(wù)器。经亚信安(ān)全CERT技(jì )术研判,该漏洞范围较大且目前在野利用(yòng),目前官方已发布漏洞补丁,建议使用(yòng)Atlassian Confluence的用(yòng)户尽快自查并修复漏洞。
Atlassian Confluence Server是一套专业的企业知识管理(lǐ)与协同软件,也可(kě)以用(yòng)于构建企业WiKi,其客户遍布全球,目前有(yǒu)超过75,000家客户使用(yòng)该产(chǎn)品。
漏洞编号及评分(fēn)
CVE-2022-26134(CVSS V3:9.8 )
漏洞状态
漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用(yòng) |
已公(gōng)开 | 已公(gōng)开 | 已公(gōng)开 | 存在 |
亚信安(ān)全产(chǎn)品解决方案
亚信安(ān)全信桅深度威胁发现设备(TDA)已经支持对上述提及漏洞的检测:
产(chǎn)品 | 版本号 | 规则包版本 |
TDA | 6.0 | 1.0.0.114 |
7.0 | 1.0.0.116 |
漏洞复现
受影响的版本
Atlassian Confluence Server and Data Center < 7.4.17
Atlassian Confluence Server and Data Center < 7.13.7
Atlassian Confluence Server and Data Center < 7.14.3
Atlassian Confluence Server and Data Center < 7.15.2
Atlassian Confluence Server and Data Center < 7.16.4
Atlassian Confluence Server and Data Center < 7.17.4
Atlassian Confluence Server and Data Center < 7.18.1
修复建议
官方补丁
?Atlassian Confluence Server and Data Center 7.4.17
?Atlassian Confluence Server and Data Center 7.13.7
?Atlassian Confluence Server and Data Center 7.14.3
?Atlassian Confluence Server and Data Center 7.15.2
?Atlassian Confluence Server and Data Center 7.16.4
?Atlassian Confluence Server and Data Center 7.17.4
?Atlassian Confluence Server and Data Center 7.18.1
下载地址:
https://www.atlassian.com/software/confluence/download-archives
临时修复方案
WAF设置阻止包含 ${ 的URL的规则
限制从互联网直接访问Confluence Server和Data Center实例
官方缓解措施
※ 对于 Confluence 7.15.0 - 7.18.0
如果在集群中(zhōng)运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可(kě)应用(yòng)此缓解措施
关闭Confluence
将以下1个文(wén)件下载到Confluence服務(wù)器:
xwork-1.0.3-atlassian-10.jar
删除(或将以下JAR移出Confluence安(ān)装(zhuāng)目录):
Plaintext
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
注意:不要在目录中(zhōng)留下这个旧JAR 的副本。
将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/
检查新(xīn)xwork-1.0.3-atlassian-10.jar文(wén)件的权限和所有(yǒu)权是否与同一目录中(zhōng)的现有(yǒu)文(wén)件匹配。
启动Confluence
请记住,如果在集群中(zhōng)运行Confluence,请确保在所有(yǒu)节点上应用(yòng)上述更新(xīn)。
※ 对于 Confluence 7.0.0 - Confluence 7.14.2
如果在集群中(zhōng)运行Confluence,需要在每个节点上重复这个过程。无需关闭整个集群即可(kě)应用(yòng)此缓解措施。
关闭Confluence
将以下3个文(wén)件下载到Confluence服務(wù)器:
xwork-1.0.3-atlassian-10.jar
CachedConfigurationProvider.class
webwork-2.1.5-atlassian-4.jar
删除(或将以下JAR移到Confluence安(ān)装(zhuāng)目录之外):
Plaintext
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
注意:不要在目录中(zhōng)留下旧JAR的副本
将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/
将下载的webwork-2.1.5-atlassian-4.jar复制到<confluence-install>/confluence/WEB-INF/lib/
检查两个新(xīn)文(wén)件的权限和所有(yǒu)权是否与同一目录中(zhōng)的现有(yǒu)文(wén)件匹配。
切换到目录<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
a.创建一个名(míng)為(wèi)的新(xīn)目录webwork
b.将CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
c.确保权限和所有(yǒu)权正确:
Plaintext
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
Plaintext
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
启动Confluence
请记住,如果在集群中(zhōng)运行Confluence,请确保在所有(yǒu)节点上应用(yòng)上述更新(xīn)。
参考链接
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
分(fēn)享到微信
X