【漏洞资讯】CVE-2021-26084 Atlassian Confluence 远程代码执行漏洞

漏洞时间:2021年8月26日

 

漏洞介绍

2021年8月26日,Atlassian官方发布安全公告,披露了一个Atlassian Confluence 远程代码执行漏洞,攻击者利用漏洞可能控制服务器。

Atlassian官方发布公告,披露了Atlassian Confluence 远程代码执行漏洞。攻击者经过认证后或在部分场景下无需认证,即可构造恶意请求,造成OGNL表达式注入,进而执行任意代码,控制服务器。

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件,可用于构建企业文库等。

漏洞名称
Atlassian Confluence 远程代码执行漏洞
威胁等级
高危
漏洞威胁
Atlassian Confluence
影响范围
Atlassian Confluence Server/Data Center < 6.13.23
Atlassian Confluence Server/Data Center < 7.4.11
Atlassian Confluence Server/Data Center < 7.11.6
Atlassian Confluence Server/Data Center < 7.12.5
Atlassian Confluence Server/Data Center < 7.13.0
漏洞类型
RCE
利用难度
N/A
漏洞编号
CVE-2021-26084
是否有POC
N/A

 

信息详情

Atlassian官方发布公告,披露了Atlassian Confluence 远程代码执行漏洞。

攻击者经过认证后或在部分场景下无需认证,即可构造恶意请求,造成OGNL表达式注入,进而执行任意代码,控制服务器。

修补建议

  • 4.x.x~6.13.x 请升级至6.13.23版本
  • 6.14.x~7.4.x 请升级至7.4.11版本
  • 7.5.x~7.11.x 请升级至7.11.6版本
  • 7.12.x 请升级至7.12.5版本
  • 7.13.0版本不受影响

临时修补方案见下方临时防护措施

漏洞跟进

集团影响评估

2021 年 8月 26日,评估集团内受影响机器,青藤云拉取一共14台。

漏洞复现与 POC 检测

2021 年 09月 01日,成功复现该漏洞,并集成雨剑、BigKnife支持在线检测。

 

修复方式

升级到安全版本:

Atlassian Confluence Server/Data Center 6.13.23

Atlassian Confluence Server/Data Center 7.4.11

Atlassian Confluence Server/Data Center 7.11.6

Atlassian Confluence Server/Data Center 7.12.5

Atlassian Confluence Server/Data Center 7.13.0

临时防护措施

若相关用户暂时无法进行升级操作,也可通过为托管 Confluence 的操作系统运行以下脚本来缓解该问题:

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html?spm=a2c4g.11174386.n2.3.1f8c4c07XTPS08#

基于 Linux 的操作系统上运行的 Confluence 服务器:

如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。

1、关闭 Confluence。

2、下载 cve-2021-26084-update.sh

到 Confluence Linux 服务器。链接:

https://confluence.atlassian.com/doc/files/1077906215/1077916296/2/1629936383093/cve-2021-26084-update.sh

3、编辑cve-2021-26084-update.sh文件并设置INSTALLATION_DIRECTORY为您的 Confluence 安装目录,例如:

INSTALLATION_DIRECTORY=/opt/atlassian/confluence

4、保存文件。

5、授予脚本执行权限。

chmod 700 cve-2021-26084-update.sh

6、更改为拥有 Confluence 安装目录中文件的 Linux 用户,例如:

$ ls -l /opt/atlassian/confluence | grep bin

drwxr-xr-x 3 root root 4096 Aug 18 17:07 bin

 

# In this first example, we change to the 'root' user

# to run the workaround script

$ sudo su root

 

$ ls -l /opt/atlassian/confluence | grep bin

drwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin

 

# In this second example, we need to change to the 'confluence' user

# to run the workaround script

 

$ sudo su confluence

7、运行解决方法脚本。

$ ./cve-2021-26084-update.sh

8、预期输出应确认最多五个文件更新并以:

Update completed!

更新的文件数量会有所不同,具体取决于您的 Confluence 版本。

9、重启 Confluence。

请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。

 

在 Microsoft Windows 上运行的 Confluence 服务器:

如果在集群中运行 Confluence,则需要在每个节点上重复此过程。您不需要关闭整个集群。

1、关闭 Confluence。

2、下载 cve-2021-26084-update.ps1

到 Confluence Windows 服务器。链接:

https://confluence.atlassian.com/doc/files/1077906215/1077916298/2/1629936382985/cve-2021-26084-update.ps1

3、编辑cve-2021-26084-update.ps1文件并设置INSTALLATION_DIRECTORY. 替换Set_Your_Confluence_Install_Dir_Here为您的 Confluence 安装目录,例如:

$INSTALLATION_DIRECTORY='C:\Program Files\Atlassian\Confluence'

4、保存文件。

5、打开 Windows PowerShell(使用以管理员身份运行)。

6、由于 PowerShell 的默认限制性执行策略,请使用以下确切命令运行 PowerShell:

Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile -

7、预期的输出应该显示最多五个文件更新的状态,没有遇到错误(错误通常显示为红色)并以:

Update completed!

更新的文件数量会有所不同,具体取决于您的 Confluence 版本。

8、重启 Confluence。

请记住,如果您在集群中运行 Confluence,请确保在所有节点上运行此脚本。

参考链接

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91cve-2021-26084-atlassian-confluence-%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e/

发表评论

*