CVE-2021-26085

Atlassian Confluence Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-28

Официальное описание

Affected versions of Atlassian Confluence Server allow remote attackers to view restricted resources via a pre-authorization arbitrary file read vulnerability in the /s/ endpoint.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-26085) в Atlassian Confluence Server позволяет удаленному злоумышленнику без аутентификации читать любые файлы на сервере, к которым у процесса Confluence есть доступ. Это достигается через отправку специально сформированного HTTP-запроса к конечной точке /s/. Например, можно получить доступ к конфигурационным файлам, содержащим пароли, ключи или другую чувствительную информацию.

Как исправить

Необходимо немедленно обновить Atlassian Confluence Server до исправленной версии.

Конкретные патчи: * Для версий 6.13.0 - 7.4.17: обновитесь до 7.4.17, 7.11.6, 7.12.5, 7.13.0 или более поздней. * Для версий 7.5.0 - 7.11.5: обновитесь до 7.11.6, 7.12.5, 7.13.0 или более поздней. * Для версий 7.12.0 - 7.12.4: обновитесь до 7.12.5, 7.13.0 или более поздней.

Процесс обновления (Linux/общий): 1. Скачайте исправленную версию с официального сайта Atlassian. 2. Создайте полную резервную копию установки и базы данных. 3. Остановите службу Confluence: bash sudo systemctl stop confluence 4. Установите новый пакет поверх существующей версии, следуя официальной инструкции. 5. Запустите службу Confluence: bash sudo systemctl start confluence 6. Проверьте журналы запуска на наличие ошибок.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Блокировка на уровне WAF/Reverse Proxy (рекомендуется):

    • Настройте правило для блокировки всех HTTP-запросов, содержащих в пути последовательности, связанные с эксплуатацией (например, .., WEB-INF, META-INF).
    • Пример правила для nginx в конфигурации location: nginx if ($request_uri ~* "(\.\.|WEB-INF|META-INF)") { return 403; }
    • Пример правила для ModSecurity (CRS): активируйте правила 930100 и 930110.

  2. Ограничение сетевого доступа:

    • Настройте групповые политики (GPO) или локальные файрволлы (iptables, ufw) так, чтобы доступ к порту Confluence (по умолчанию 8090/tcp, 8443/tcp) был разрешен только с доверенных IP-адресов (например, корпоративной сети, VPN). ```bash

    Пример для iptables (разрешить только от сети 10.0.0.0/24)

    sudo iptables -A INPUT -p tcp --dport 8090 -s 10.0.0.0/24 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 8090 -j DROP ```

  3. Важно: Временные меры не устраняют уязвимость. Запланируйте и выполните обновление до защищенной версии как можно скорее.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей