Confluence Server Advisory - уязвимости в WebDAV и Widget Connector (CVE-2019-3395| CVE-2019-3396)

Об уязвимости

Критическая уязвимость распространяется на Confluence Server и Confluence Data Center, но не затрагивает пользователей Confluence Server или Data Center, которые обновились до версий 6.6.12, 6.12.3, 6.13.3, 6.14.2 или выше, и на пользователей, использующих Confluence Cloud.

Данная уязвимость распространяется на пользователей, у которых установлены следующие версии Confluence Server или Data Center:

Все версии 1.xx, 2.xx, 3.xx, 4.xx и 5.xx

Все версии 6.0.x, 6.1.x, 6.2.x, 6.3.x, 6.4.x и 6.5.x

Все версии 6.6.x до 6.6.12

Все версии 6.7.x, 6.8.x, 6.9.x, 6.10.x и 6.11.x

Все версии 6.12.x до 6.12.3

Все версии 6.13.x до 6.13.3

Все версии 6.14.x до 6.14.2

Для устранения данной уязвимости пользователям необходимо обновить патч сервера Confluence или Data Center.

Уязвимость WebDAV - CVE- 2019-3395

Уязвимыми являются версии сервера Confluence и Data Center, выпущенные до 18 июня 2018 года. Злоумышленник получает возможность удаленно искажать запросы на стороне сервера (SSRF). Уязвимость в WebDAV - это плагин для отправки произвольных HTTP и WebDAV запросов от сервера Confluence или Data Center.

Уязвимость коннектора виджета CVE-2019-3396

Данная уязвимость связана с внедрением шаблонов на стороне сервера в Confluence Server и Data Center в Widget Connector. Злоумышленник может использовать эту уязвимость для обеспечения внедрения шаблона на стороне сервера, обхода пути и удаленного выполнения кода в системах, на которых установлена уязвимая версия сервера Confluence или Data Center.

Решение:

Выпущена версия 6.15.1 Server и Data Center Confluence, которая содержит исправления для этих уязвимостей, по следующим ссылкам:https://www.atlassian.com/software/confluence/down... и https://atlassian.com/software/confluence/download...

Кроме того, выпущены версии 6.6.12, 6.12.3, 6.13.3 и 6.14.2 сервера Confluence и Data Center, которые содержат исправления для этих уязвимостей, по ссылкеhttps://www.atlassian.com/software/confluence/download-archives.

В СЛУЧАЕ ОБНАРУЖЕНИЯ ПОДОЗРИТЕЛЬНОЙ АКТИВНОСТИ НА ИНТЕРНЕТ-РЕСУРСЕ, ЗАГРУЗКИ НЕИЗВЕСТНЫХ ФАЙЛОВ НА ВАШ ПЕРСОНАЛЬНЫЙ КОМПЬЮТЕР ИЛИ НЕОБХОДИМОСТИ ВВОДА ПЕРСОНАЛЬНЫХ ДАННЫХ И ДАННЫХ БАНКОВСКИХ КАРТ НА СТОРОННЕМ ИНТЕРНЕТ-РЕСУРСЕ, РЕКОМЕНДУЕМ БЫТЬ БДИТЕЛЬНЫМИ И СООБЩАТЬ О ПОДОБНОМ, ПОЗВОНИВ НА БЕСПЛАТНЫЙ ЕДИНЫЙ КОРОТКИЙ НОМЕР 1400, ИЛИ ПО ЭЛЕКТРОННОЙ ПОЧТЕ INCIDENT@KZ-CERT.KZ