【安全风险通告】Atlassian Confluence远程代码执行漏洞安全风险通告

2021年8月26日 269点热度 0人点赞 0条评论
图片

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。


风险通告

近日,奇安信CERT监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。当Atlassian Confluence在设置 > 用户管理(User Management) > 用户注册选项(User Signup Options)启用了“允许通过注册创建账号”(Allow people to sign up to create their account)功能时,非管理员用户或未经身份验证的用户可以访问易受攻击的接口。目前官方已发布修复版本和缓解措施,请用户尽快自查修复。

当前漏洞状态

细节是否公开

PoC状态

EXP状态

在野利用

未知

未知

未知

漏洞描述

Atlassian Confluence是一个专业的企业知识管理与协同软件,并支持用于构建企业WiKi。


近日,奇安信CERT监测到Atlassian官方发布了Atlassian Confluence OGNL表达式注入漏洞通告(CVE-2021-26084)。经过身份验证的攻击者(在某些场景下无需身份验证),能利用该漏洞在系统上执行任意代码。当Atlassian Confluence在设置 > 用户管理(User Management) > 用户注册选项(User Signup Options)启用了“允许通过注册创建账号”(Allow people to sign up to create their account)功能时,非管理员用户或未经身份验证的用户可以访问易受攻击的接口。目前官方已发布修复版本和缓解措施,请用户尽快自查修复。

1CVE-2021-26084 Atlassian Confluence OGNL入漏洞

漏洞名称

Atlassian Confluence   Server and Data Center OGNL注入漏洞

漏洞类型

远程代码执行

风险等级

高危

漏洞ID

CVE-2021-26084

公开状态

未公开

在野利用

未发现

漏洞描述

Atlassian Confluence   Server and Data Center允许经过身份验证的攻击者(在某些场景下无需身份验证),利用该漏洞在系统上执行任意代码。

参考链接

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)

影响范围

Atlassian Confluence Server and Data Center version < 6.13.23

6.14.0 ≤ Atlassian Confluence Server and Data Center version < 7.4.11

7.5.0  ≤ Atlassian Confluence Server and Data Center version < 7.11.5

7.12.0 ≤ Atlassian Confluence Server and Data Center version < 7.12.5

其中Atlassian Confluence Cloud不受影响

处置建议

1、升级到以下安全版本:

6.13.23、7.4.11、7.11.6、7.12.5、7.13.0

补丁链接:https://www.atlassian.com/software/confluence/download-archives

2、缓解措施

如果不能直接升级软件版本则使用如下缓解措施:

Linux系统:

1.关闭Confluence
2.下载https://confluence.atlassian.com/doc/files/1077906215/1077916296/2/1629936383093/cve-2021-26084-update.sh脚本
3.编辑该脚本中的INSTALLATION_DIRECTORY使其指向Confluence安装目录并保存文件
4.使用命令chmod 700 cve-2021-26084-update.sh给脚本执行权限
5.更改Confluence安装目录的拥有者和组,示例如下
$ ls -l /opt/atlassian/confluence | grep bindrwxr-xr-x 3 root root 4096 Aug 18 17:07 bin
# In this first example, we change to the 'root' user # to run the workaround script $ sudo su root$ ls -l /opt/atlassian/confluence | grep bindrwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin
# In this second example, we need to change to the 'confluence' user # to run the workaround script
$ sudo su confluence
6.执行脚本./cve-2021-26084-update.sh

Windows系统:

1. 关闭Confluence
2. 下载脚本https://confluence.atlassian.com/doc/files/1077906215/1077916298/2/1629936382985/cve-2021-26084-update.ps1
3. 编辑该脚本设置INSTALLATION_DIRECTORY指向Confluence的安装目录并保存脚本
4. 使用管理员权限打开powershell
5. 使用以下命令执行脚本
Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile –

注:如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本来缓解此漏洞。

参考资料

[1]https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

时间线

2021年8月26日,奇安信 CERT发布安全风险通告

图片

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓

79740【安全风险通告】Atlassian Confluence远程代码执行漏洞安全风险通告

这个人很懒,什么都没留下

文章评论