Atlassian закликає терміново оновити сервіс Confluence
Atlassian закликає терміново оновити службу Confluence
У Confluence від компанії Atlassian виявили вразливість, яку зловмисники масово шукають і намагаються використовувати в атаках. Фахівці вважають, що операція буде тільки збільшуватися, і закликають до термінового оновлення сервісу.
Уразливість CVE-2021-26084 пов'язана з використанням мови навігації об'єкт-граф (OGNL) в системі тегів. Він дозволяє вбудовувати та виконувати довільний код OGNL на пристроях під керуванням Confluence Server або Центру обробки даних Confluence. Якщо параметр Дозволити людям зареєструватися , щоб створити свій обліковий запис, увімкнено в Confluence, навіть неавторизований користувач може використовувати його .
Atlassian дав вразливості оцінку 9,8 і критичний статус. Більш того, в мережі вже з'явилося кілька демонстрацій використання цієї вразливості, в тому числі опція з віддаленим виконанням коду.
Atlassian випустила виправлення ще 25 серпня . Користувачам рекомендується не зволікати з оновленням своїх серверів.
Патчі були випущені для версій 6.13.23, 7.4.11, 7.11.6, 7.12.5 і 7.13.0, тобто під загрозою залишаються версії, попередні до 6.13.23, а також версії 6.14.0 - 7.4.11, 7.5.0 - 7.11.6 і 7.12.0 - 7.12.5. Користувачів Confluence Cloud проблема не торкнулася . Atlassian радить усім оновитися до останньої версії Confluence — клієнти часто нехтують цим, оскільки навіть більш ранні функціонують нормально — і пропонує кілька обхідних шляхів для Linux і Windows, якщо з якихось причин це неможливо зробити.
Короткий зміст вразливості
Ця рекомендація розкриває критичну вразливість безпеки. На цю вразливість впливають версії сервера confluence Server і Data Center до версії 6.13.23, від версії 6.14.0 до 7.4.11, від версії 7.5.0 до 7.11.6, і від версії 7.12.0 до 7.12.5 .
Клієнти Confluence Cloud не постраждали.
Це не стосується клієнтів , які виконали оновлення до версій 6.13.23, 7.11.6, 7.12.5, 7.13.0 або 7.4.11 .
Клієнти, які завантажили та інсталювали будь-які версії, перелічені в розділі «Уражені версії», повинні оновити інсталяції, щоб усунути цю вразливість. Якщо ви не можете оновити систему негайно, під час планування оновлення застосуйте описане нижче рішення.