CVE-2019-3398

Суть уязвимости

Привилегированный удаленный злоумышленник может использовать уязвимость обхода пути (Path Traversal) в ресурсе downloadallattachments Confluence. Это позволяет записывать произвольные файлы в файловую систему сервера, что в конечном итоге может привести к удаленному выполнению кода (RCE).

Как исправить

Необходимо обновить Atlassian Confluence Server или Data Center до исправленной версии.

Конкретные патчи: * Confluence 6.6.x: Обновитесь до версии 6.6.12 или выше. * Confluence 6.7.x, 6.8.x, 6.9.x, 6.10.x, 6.11.x, 6.12.x: Обновитесь до версии 6.12.3 или 6.13.3 (или выше). * Confluence 6.13.x: Обновитесь до версии 6.13.3 или выше. * Confluence 6.14.x: Обновитесь до версии 6.14.2 или выше. * Confluence 6.15.x: Обновитесь до версии 6.15.4 или выше.

Процесс обновления (Linux, пример): 1. Остановите Confluence: bash sudo systemctl stop confluence 2. Создайте резервную копию установки и базы данных. 3. Скачайте исправленную версию с официального сайта Atlassian. 4. Распакуйте архив и замените файлы в директории установки. 5. Запустите Confluence: bash sudo systemctl start confluence

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

1. Ограничение доступа: Настройте сетевой брандмауэр или WAF (например, ModSecurity) для блокировки HTTP-запросов к уязвимому эндпоинту:

   • Целевой путь: /rest/api/content/*/child/attachment/downloadall
   • Целевой параметр: mediaId

   Пример правила для ModSecurity: SecRule REQUEST_URI "@rx /rest/api/content/.*/child/attachment/downloadall" \ "id:1001,phase:1,deny,status:403,msg:'CVE-2019-3398 Path Traversal Block'"

2. Минимизация привилегий: Убедитесь, что учетная запись ОС, под которой работает Confluence, имеет минимально необходимые права на запись в файловую систему. Никогда не запускайте Confluence от имени root.

3. Сегментация сети: Ограничьте доступ к Confluence только доверенным IP-адресам или сегменту корпоративной сети.