赞
踩
点击箭头处“蓝色字”,关注我们哦!!
尊敬的客户:
Atlassian Confluence Server是一套专业的企业知识管理与协同软件,也可以用于构建企业WiKi。
Atlassian Confluence Server中的导出word功能处存在信息泄露漏洞,具有添加/编辑页面权限的攻击者可利用此漏洞读取Confluence服务目录下的敏感文件,其中包括可能存在的LDAP凭证信息。
奇安信安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
文档信息
文档名称 | Confluence敏感信息泄露漏洞安全预警通告 |
关键字 | Confluence、CVE-2019-3394 |
发布日期 | 2019年08月30日 |
分析团队 | 奇安信安全监测与响应中心 |
漏洞描述
Atlassian Confluence Server中的导出word功能处存在信息泄露漏洞,具有添加/编辑页面权限的攻击者可利用此漏洞读取Confluence服务目录下的敏感文件,其中包括可能存在的LDAP凭证信息。
在6.9.0版本下进行测试,可以读取到WEB-INF的上一级目录的任意文件,包括模板文件、jsp文件源码:
风险等级
奇安信安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般事件)
影响范围
All 6.1.x versions
All 6.2.x versions
All 6.3.x versions
All 6.4.x versions
All 6.5.x versions
All 6.6.x versions before 6.6.16(6.6.x的修复版本)
All 6.7.x versions
All 6.8.x versions
All 6.9.x versions
All 6.10.x versions
All 6.11.x versions
All 6.12.x versions
All 6.13.x versions before 6.13.7(6.13.x的修复版本)
All 6.14.x versions
All 6.15.x versions before 6.15.8(6.15.x的修复版本)
处置建议
一、官方已发布升级版,请升级到以下版本:
6.6.16
6.13.7
6.15.8
二、临时缓解措施:
Confluence有一个系统属性atlassian.confluence.export.word.max.embedded.images,其默认值为50,
在启动Confluence时设置这个参数:-Datlassian.confluence.export.word.max.embedded.images=0可以将导出到word文件中允许的最大图片数为0,则无法进入while循环中,无法将img的src属性取出,
故此措施可作为此漏洞的临时缓解措施。验证缓解措施生效方式:
1、新建一个带有图片的页面/博客;
2、将其导出到word;
3、确认word文件中没有图片。
技术分析
以atlassian-confluence-6.9.0进行复现。
atlassian-confluence-6.9.0/confluence/WEB-INF/lib/confluence-6.9.0.jar!/com/atlassian/confluence/content/render/xhtml/view/excerpt/DefaultExcerpter#extractImageSrc
取出img标签中的src属性。
在atlassian-confluence-6.9.0/confluence/WEB-INF/lib/confluence-6.9.0.jar!/com/atlassian/confluence/servlet/ExportWordPageServer#createInputStreamFromRelativeUrl中
判断src的值,这里排除file了协议的uri。重点看一下高亮的这个逻辑分支,
跟进,通过6个DownloadResourceManager的matches方法接连匹配uri。
判断uri是否以/download/temp、/download/attachments、/download/thumbnails、/images、/images/icons、/packages开头。其中可以利用的点是PackageResourceManager的以/packages开头的uri。
匹配成功后,通过路径穿越可以读取到指定文件的内容。
产品线解决方案
奇安信天眼产品解决方案奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0830. 11302及以上版本。规则名称:Confluence本地文件读取漏洞(CVE-2019-3394),规则ID:0x100206F9。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Atlassian Confluence Server的导出word功能处存在信息泄露漏洞的防护。
网神虚拟化安全管理平台无代理版本可通过更新入侵防御规则库到10163版本,支持对Confluence敏感信息泄露漏洞的防护,请用户联系技术支持人员获取规则升级包对虚拟化产品无代理版本进行升级。
网神虚拟化安全管理平台轻代理版本可通过更新入侵防御规则库到2019.08.30版本,支持对Confluence敏感信息泄露漏洞的防护,请用户联系技术支持人员获取规则升级包对虚拟化产品轻代理版本进行升级。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该信息泄露漏洞的检测能力。规则ID为:5355,建议用户尽快升级检测规则库至1908301640以上版本并启用该检测规则。 奇安信网神天堤防火墙产品防护方案奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至最新的特征库“ 1908301640” 及以上版本并启用规则ID: 5355进行检测。参考资料
[1] https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html [2] https://jira.atlassian.com/browse/CONFSERVER-58734时间线
[1]. 2019年8月29日,奇安信安全监测与响应中心监测到此漏洞
[2]. 2019年8月30日,奇安信安全监测与响应中心发布预警通告
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。