Atlassian Confluence正式发布安全通知,以修复Confluence中存在的本地文件泄露漏洞(CVE-2019-3394)。 漏洞级别很严重。 Atlassian Confluence Server和Atlassian Data Center是Atlassian Corp.的产品。Atlassian Confluence Server是一个专业的企业知识管理和协作软件,也可用于构建企业WiKi。 Atlassian数据中心是一个数据中心系统。
Confluence Server和Data Center在页面导出功能中存在本地文件泄漏漏洞。 “具有添加页面空间权限的远程攻击者将能够读取<install-directory>/confluence/WEB-INF目录中的任意文件,该目录可能包含用于与其他服务集成的配置文件,可能泄露凭据,例如 LDAP凭据或其他敏感信息。 如果在atlassian-user.xml文件中指定了LDAP凭据,则存在泄漏LDAP凭据的可能性,该文件是配置LDAP集成的一种不推荐的方法。
受影响的版本All 6.1.x versions
All 6.2.x versions
All 6.3.x versions
All 6.4.x versions
All 6.5.x versions
All 6.6.x versions 在6.6.16之前(6.6.x的固定版本)
All 6.7.x versions
All 6.8.x versions
All 6.9.x versions
All 6.10.x versions
All 6.11.x versions
All 6.12.x versions
All 6.13.x versions 在6.13.7之前(6.13.x的固定版本)
All 6.14.x versions
All 6.15.x versions 在6.15.8之前(6.15.x的固定版本)
解决方法使用Confluence的用户可以通过将Confluence Server或Confluence数据中心更新到版本6.6.16,6.13.3或6.15.8来修复此漏洞。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx