聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该硬编码密码是在安装 Questions for Confluence app(版本2.7.34、2.7.35和3.0.2)后添加的,该app 的用户账户名为disabledsystemuser,旨在帮助管理员将数据从该app迁移到 Confluence Cloud 中。
Atlassian 公司指出,该 app 有助于增进与组织机构内部问答团队之间的通信,且目前安装在8000多台Confluence 服务器上。
Atlassian 公司在本周三发布的安全公告中指出,“该disabledsystemuser 账户具有硬编码密码且被添加到confluence-users 群组中,从而在默认情况下允许查看并编辑Confluence 中的所有不受限页面。远程未认证攻击者如具有硬编码密码知识,则可利用该漏洞登录到 Confluence 中并访问confluence-users 群组拥有访问权限的任意页面。”
Atlassian 公司表示目前未有漏洞遭利用的证据和报告。然而,该公司提醒称,“下载并审计该app的受影响版本后,很容易获取硬编码密码。”
想要判断自己的服务器是否受该硬编码凭据漏洞的影响,用户必须检查具有如下信息的活跃用户账户:
-
User: disabledsystemuser
-
Username: disabledsystemuser
-
Email: [email protected]
在受影响服务器上卸载 Questions for Confluence app 并不会修复该漏洞,且将无法删除该攻击向量(即 disabledsystemuser 账户具有硬编码密码)。在安装更新前修复该漏洞,Atlassian 公司建议更新至Questions for Confluence app 的最新版本,即2.7.38或更高的2.7.x版本或高于3.0.5的版本,或者禁用/删除 disabledsystemuser 账户,停止创建这个有问题的用户账户并在出现该账户的情况下将其删除。要禁用或删除该账户,则参照该公司的支持文档获取详细操作。
如需了解服务器上漏洞利用的证据,用户可检查 disabledsystemuser 的最新认证时间。如结果为空,则意味着账户出现在系统上,但无人登录使用。
https://www.bleepingcomputer.com/news/security/atlassian-fixes-critical-confluence-hardcoded-credentials-flaw/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
文章评论