主题 | CVE-2022-26134- -unauthenticated remote code execution vulnerability |
---|---|
公告发布日期 | 2022-06-02 |
影响产品 |
|
CVE ID | CVE-2022-26134 |
影响版本 | 所有版本 |
修复版本 |
|
说明
在Atlassian Confluence Server and Data Center中存在ONGL注入漏洞,未经身份验证的远程攻击者可以利用该漏洞在Atlassian Confluence Server and Data Center上注入恶意ONGL表达式,造成任意代码执行并部署WebShell。
Atlassian建议升级到最新的长期支持版本。
注意:如果在集群中运行Confluence,则在没有停机的情况下无法升级到固定版本,也称为滚动升级。按照升级Confluence Data Center中的步骤操作。
临时修补
对于Confluence7.X版本,如果不进行升级到长期支持版本,可以通过以下策略进行临时性的修补。
针对Confluence 7.15.0 - 7.18.0之间的版本
- 关闭Confluence
- 在https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar 下载到服务器上
- 删除或者将<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar 移出Confluence 安装目录
- 将第二步下载的文件复制到<confluence-install>/confluence/WEB-INF/lib/ 目录中
- 检查该文件权限是否和所在目录的其他文件权限一致。
- 启动Confluence
针对 Confluence 7.0.0 - Confluence 7.14.2
- 关闭Confluence
- 将以下三个文件下载到服务器
- https://packages.atlassian.com/maven-internal/opensymphony/xwork/1.0.3-atlassian-10/xwork-1.0.3-atlassian-10.jar
- https://packages.atlassian.com/maven-internal/opensymphony/webwork/2.1.5-atlassian-4/webwork-2.1.5-atlassian-4.jar
- https://confluence.atlassian.com/doc/files/1130377146/1137639562/3/1654274890463/CachedConfigurationProvider.class
- 删除或者移出以下路径的文件
- <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
- <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
- 将下载的xwork-1.0.3-atlassian-10.jar复制到<confluence-install>/confluence/WEB-INF/lib/
- 将下载的webwork-2.1.5-atlassian-4.jar复制到<confluence-install>/confluence/WEB-INF/lib/
- 检查上述文件权限是否和同一目录的其他文件权限一样。
- 切换到目录<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
- 新建目录webwork
- 将下载的CachedConfigurationProvider.class复制到<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork目录中
- 确保复制的文件和新建的目录所有权等权限匹配
- 启动Confluence
提醒
- 如果在集群内运行Confluence则需要在每个节点上重复以上过程
- 如果使用是的Confluence6版本,请进行产品升级
针对Confluecne6.X处理
我们可以对Confluence6.x版本进行URL的拦截进行处理,主要策略是检查请求的URL路径,并进行拒绝服务。
如我们使用的是nginx前端,可以进行以下脚本上的配置
server { error_page 500 502 503 504 /50x.html; } |
https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html
https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
https://confluence.atlassian.com/jirakb/workaround-for-cve-2019-15004-979416164.html