Confluence Server Advisory – осалдықтары WebDAV-та және Widget Connector (CVE-2019-3395| CVE-2019-3396)

Осалдық туралы

Аса маңызды осалдық Confluence Server және Confluence Data Center-ге таралады, бірақ 6.6.12, 6.12.3, 6.13.3, 6.14.2 немесе одан жоғары нұсқаларға дейін жаңартылғанConfluence Server немесе Data Center пайдаланушыларына және Confluence Cloud пайдаланатын пайдаланушыларға әсер етпейді.

Бұл осалдық Confluence Server немесе Data Center келесі нұсқалары орнатылған пайдаланушыларға таралады:

Барлық нұсқалары 1.xx, 2.xx, 3.xx, 4.xx и 5.xx

Барлық нұсқалары 6.0.x, 6.1.x, 6.2.x, 6.3.x, 6.4.x и 6.5.x

Барлық нұсқалары 6.6.x до 6.6.12

Барлық нұсқалары 6.7.x, 6.8.x, 6.9.x, 6.10.x и 6.11.x

Барлық нұсқалары 6.12.x до 6.12.3

Барлық нұсқалары 6.13.x до 6.13.3

Барлық нұсқалары 6.14.x до 6.14.2

Осы осалдықты жою үшін пайдаланушыларға Confluence немесе Data Center патч серверін жаңарту қажет.

WebDAV - CVE- 2019-3395 осалдық

2018 жылдың маусымына дейін шығарылған Confluence және Data Center серверінің нұсқалары осал болып табылады. Зиянкес сервер жағында (SSRF) сұраныстарды алыстан бұрмалау мүмкіндігін алады. WebDAV-да осалдық – бұлConfluence немесе Data Center серверінен ерікті HTTP және WebDAV сұрауларын жіберу үшін плагин.

CVE-2019-3396 виджет коннекторының осалдығы

Бұл осалдық сервер жағында Confluence Server және Data Center, Widget Connector үлгілерінің еңгізілуімен байланысты. Зиянкес бұл осалдықты сервер жағында үлгіні енгізуді, жолды айналып өтуді және Confluence немесе Data Center серверінің осал нұсқасы орнатылған жүйелерде кодты қашықтан орындауды қамтамасыз ету үшін пайдалана алады.

Шешімі:

6.15.1 Server және Data Center Confluence нұсқасы шығарылды, онда осы осалдықтарға түзетулер бар, келесі сілтемелер бойынша: https://www.atlassian.com/software/confluence/download/ және https://atlassian.com/software/confluence/download/data-center

Сонымен қатар, Confluence және Data Center серверінің 6.6.12, 6.12.3, 6.13.3 және 6.14.2 нұсқалары шығарылды, осы осалдықтар үшін түзетулерден тұрады, сілтеме бойынша: https://www.atlassian.com/software/confluence/download-archives.

ИНТЕРНЕТ-РЕСУРСТА КҮДІКТІ БЕЛСЕНДІЛІК БАЙҚАЛСА, СІЗДІҢ ДЕРБЕС КОМПЬЮТЕРІҢІЗГЕ БЕЛГІСІЗ ФАЙЛДАРДЫ ЖҮКТЕГЕНДЕ НЕМЕСЕ БӨГДЕ ИНТЕРНЕТ-РЕСУРСТА ДЕРБЕС ДЕРЕКТЕРДІ ЖӘНЕ БАНК КАРТАЛАРЫНЫҢ ДЕРЕКТЕРІН ЕНГІЗУ ҚАЖЕТ БОЛҒАНДА, ҚЫРАҒЫ БОЛУҒА ЖӘНЕ ТЕГІН БІРЫҢҒАЙ 1400 ҚЫСҚА НӨМІРІНЕ НЕМЕСЕ INCIDENT@KZ-CERT.KZ ЭЛЕКТРОНДЫҚ ПОШТА АРҚЫЛЫ ХАБАРЛАУДЫ ҰСЫНАМЫЗ.