Atlassian Confluence Server和Data Center CVE-2022-26134 远程代码执行漏洞通告
漏洞概述2022年06月04日,华为感知到Atlassian Confluence发布了CVE-2022-26134漏洞补丁。 Atlassian Confluence Server和Data Center存在OGNL注入漏洞,漏洞等级高危。成功利用该漏洞,将允许远程攻击者在服务端执行任意代码。鉴于漏洞危害大、利用细节已公开,建议广大用户及时排查,对受影响的产品进行升级或安装补丁,避免遭受黑客的攻击。
关键信息
受影响的版本- Atlassian Confluence Server and Data Center >= 1.3.0 - Atlassian Confluence Server and Data Center < 7.4.17 - Atlassian Confluence Server and Data Center < 7.13.7 - Atlassian Confluence Server and Data Center < 7.14.3 - Atlassian Confluence Server and Data Center < 7.15.2 - Atlassian Confluence Server and Data Center < 7.16.4 - Atlassian Confluence Server and Data Center < 7.17.4 - Atlassian Confluence Server and Data Center < 7.18.1
解决方案1. 华为解决方案 华为在感知到该漏洞信息后,安全研究人员持续关注此漏洞,对漏洞进行复现分析并开发IPS防护签名。目前最新IPS签名库已推送到升级网站,可供客户升级使用。
2. 厂商解决方案 官方发布更新补丁,请受影响用户及时关注并尽快更新: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
Confluence 7.15.0 - 7.18.0:如果在集群内运行Confluence则需要在每个节点执行以下过程: a) 关闭Confluence b) 在https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar下载到服务器 c) 删除或者将<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar 移出Confluence 安装目录 d) 将第二步下载的文件复制到<confluence-install>/confluence/WEB-INF/lib/ 目录中 e) 确保该文件权限和所在目录的其他文件权限一致 f) 启动Confluence
Confluence 7.0.0 - Confluence 7.14.2:如果在集群内运行Confluence则需要在每个节点执行以下过程: a) 关闭Confluence b) 将以下三个文件下载到服务器 https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class c) 删除以下路径的文件 <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar d) 将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/ e) 将下载的webwork-2.1.5-atlassian-4.jar复制到<confluence-install>/confluence/WEB-INF/lib/ f) 确保上述文件权限和同目录的其他文件权限一致 g) 切换到目录<confluence-install>/confluence/WEBINF/classes/com/atlassian/confluence/setup 新建目录webwork 将下载的CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork目录中 确保复制的文件和新建的目录权限正确 h) 启动Confluence
参考链接https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html |
