+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Atlassian закликає терміново оновити сервіс Confluence

Atlassian закликає терміново оновити службу Confluence

У Confluence від компанії Atlassian виявили вразливість, яку зловмисники масово шукають і намагаються використовувати в атаках. Фахівці вважають, що операція буде тільки збільшуватися, і закликають до термінового оновлення сервісу.

Уразливість CVE-2021-26084 пов'язана з використанням мови навігації об'єкт-граф (OGNL) в системі тегів. Він дозволяє вбудовувати та виконувати довільний код OGNL на  пристроях під керуванням Confluence Server або Центру обробки даних Confluence. Якщо параметр Дозволити людям зареєструватися , щоб створити свій обліковий запис, увімкнено в Confluence, навіть неавторизований користувач може використовувати його .

Atlassian дав вразливості оцінку 9,8 і критичний статус. Більш того, в мережі вже з'явилося кілька демонстрацій використання цієї вразливості, в тому числі опція з віддаленим виконанням коду.

Atlassian випустила виправлення ще 25 серпня . Користувачам рекомендується не зволікати з оновленням своїх серверів.

Патчі були випущені для версій 6.13.23, 7.4.11, 7.11.6, 7.12.5 і 7.13.0, тобто під загрозою залишаються версії, попередні до 6.13.23, а також версії 6.14.0 - 7.4.11, 7.5.0 - 7.11.6 і 7.12.0 - 7.12.5. Користувачів Confluence Cloud проблема не торкнулася . Atlassian радить усім оновитися до останньої версії Confluence — клієнти часто нехтують цим, оскільки навіть більш ранні функціонують нормально — і пропонує кілька обхідних шляхів для Linux і Windows, якщо з якихось причин це неможливо зробити.

Короткий зміст вразливості

Ця рекомендація розкриває критичну вразливість безпеки. На цю вразливість впливають версії сервера confluence Server і Data Center до версії 6.13.23від версії 6.14.0 до 7.4.11від версії 7.5.0 до 7.11.6, і від версії 7.12.0 до 7.12.5 .

Клієнти Confluence Cloud не постраждали.

Це не стосується клієнтів , які виконали оновлення  до версій 6.13.23, 7.11.6, 7.12.5, 7.13.0 або 7.4.11 .

Клієнти, які завантажили та інсталювали будь-які версії, перелічені в розділі «Уражені версії», повинні оновити інсталяції, щоб усунути цю вразливість. Якщо ви не можете оновити систему негайно, під час планування оновлення застосуйте описане нижче рішення.

 
 

Інші новини