预警Confluence最新远程命令执行高危漏洞(CVE-2019-3398)
2019年4月18日,监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在downloadallattachments 资源中存在目录穿越漏洞(CVE-2019-3398),远程攻击者可以利用此漏洞将WebShell文件写入任意位置,最终可能导致远程代码执行。
漏洞描述
早在2019年4月4日,Confluence就已爆发过远程命令执行高危漏洞:https://help.aliyun.com/noticelist/articleid/1000128459.html,风险较大。
此次漏洞(CVE-2019-3398)Confluence官方定为严重级别,阿里云云盾应急响应中心提醒用户尽快升级相关软件,以免遭受黑客攻击。
漏洞评级
CVE-2019-3398 严重
影响软件
Confluence Server
Confluence Data Center
安全版本
6.6.x 系列:6.6.13 及以上
6.12.x系列:6.12.4 及以上
6.13.x系列:6.13.4 及以上
6.14.x系列:6.14.3 及以上
6.15.x系列:6.15.2 及以上
安全建议
以下任选一种皆可修复漏洞
一、升级至安全版本。下载链接:
https://www.atlassian.com/software/confluence/download/
https://atlassian.com/software/confluence/download/data-center
二、执行官方缓解措施,操作步骤:
1、停止Confluence
2、编辑<install-directory>/conf/server.xml
3、如果你没有为 Confluence 配置 context path,则将以下代码添加至 <Host> 元素中:
<Context path=”/pages/downloadallattachments.action” docBase=”” >
<Valapp className=”org.apache.catalina.valapps.RemoteAddrValapp” deny=”*” />
</Context>
如果你为 Confluence 配置了 context path,比如说 /wiki,则需要将以下代码添加至 <Host> 元素中:
<Context path=”/wiki/pages/downloadallattachments.action” docBase=”” >
<Valapp className=”org.apache.catalina.valapps.RemoteAddrValapp” deny=”*” />
</Context>
4、保存文件,重启Confluence。
相关链接
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-04-17-968660855.html
https://jira.atlassian.com/browse/CONFSERVER-58102