Confluence外地文件泄露误差清静通告

宣布时间 2019-08-29

?误差编号和级别


CVE编号:CVE-2019-3394,,,,,危险级别:严重,,,,,CVSS分值:官方未评定


?影响版本


受影响的版本


以下版本规模内的 Confluence Server 和 Data Center 受到误差影响:


6.1.0 <= version < 6.6.16

6.7.0 <= version < 6.13.7

6.14.0 <= version < 6.15.8


?误差概述


8 月 28 日,,,,,Atlassian Confluence官方宣布清静通告,,,,,修复了保存于Confluence 中的一处外地文件泄露误差(CVE-2019-3394)。。。。。


Atlassian Confluence Server和Atlassian Data Center都是澳大利亚Atlassian公司的产品。。。。。Atlassian Confluence Server是一套专业的企业知识治理与协同软件,,,,,也可以用于构建企业WiKi。。。。。Atlassian Data Center是一套数据中心系统。。。。。


Confluence Server和 Data Center在页面导出功效中保存外地文件泄露误差:具有“添加页面”空间权限的远程攻击者,,,,,能够读取<install-directory>/confluence/WEB-INF/目录下的恣意文件。。。。。该目录可能包括用于与其他效劳集成的设置文件,,,,,可能会走漏认证凭证,,,,,例如LDAP认证凭证或其他敏感信息。。。。。


?误差验证


暂无POC/EXP。。。。。


?修复建议


升级Confluence到已修复误差的更新版本:6.15.8 或 6.13.7 或 6.6.16:

https://www.atlassian.com/software/confluence/download

https://www.atlassian.com/software/confluence/download-archives


同时检查<install-directory>/confluence/WEB-INF目录及其子目录(尤其是/classes/目录),,,,,看是否有文件包括LDAP或Crowd认证凭证(好比crowd.properties和atlassian-user.xml文件),,,,,以及其他可能含有敏感信息的文件。。。。。如若发明含有认证凭证的敏感文件,,,,,建议对相关密码举行修改。。。。。


?参考链接


https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html