Vous utilisez Confluence Server ou Confluence Data Center 

Update

Pour remédier à ce problème, Atlassian a mis en place :

• Les versions Confluence Server et Data Center:

  • 8.3.3 ou plus récente
  • 8.4.3 ou plus récente
  • 8.5.2 (Long Term Support release) ou plus récente

Vous pouvez télécharger les dernières versions à partir des pages de téléchargement pour Confluence Server or Confluence Data Center.

Atténuation

L'installation d'une version corrigée de Confluence est le moyen le plus sûr de remédier à la situation (CVE-2023-22515). Si vous n'êtes pas en mesure de mettre à jour Confluence immédiatement, nous vous recommandons de restreindre l'accès au réseau externe à l'instance affectée.

En outre, vous pouvez atténuer les vecteurs d'attaque connus pour cette vulnérabilité en bloquant l'accès au endpoint /setup/* sur les instances Confluence. Cela est possible au niveau du réseau ou en apportant les modifications suivantes aux fichiers de configuration de Confluence.

1. Sur chaque nœud, modifiez /<confluence-install-dir>/confluence/WEB-INF/web.xml et ajoutez le bloc de code suivant (juste avant la balise </web-app> à la fin du fichier):

   Code Block
   <security-constraint> <web-resource-collection> <url-pattern>/setup/*</url-pattern> <http-method-omission>*</http-method-omission> </web-resource-collection> <auth-constraint /> </security-constraint>

   
   

2. Redémarrer Confluence.

Cette action bloquera l'accès aux pages de configuration qui ne sont pas nécessaires à l'utilisation classique de Confluence, pour plus de détails voir Atlassians FAQ page.

Détection des menaces

Outre la mise à jour vers une version corrigée, nous vous recommandons de vérifier si toutes les instances de Confluence concernées présentent les indicateurs de compromission suivants :

• Des membres inattendus dans le groupe confluence-administrator

• Des comptes d'utilisateurs inattendus nouvellement créés 

• Requêtes /setup/*.action dans les journaux d'accès au réseau

• Présence de /setup/setupadministrator.action dans un message d'exception dans atlassian-confluence-security.log dans le répertoire "home" de Confluence

De plus amples détails sur la manière de procéder sont disponibles sur le site Atlassians FAQ page.

Vous utilisez Confluence Cloud

Vous utilisez Confluence Server ou Confluence Data Center sur des serveurs exploités par bitvoodoo

Atténuation

Sie verwenden Confluence Server oder Confluence Data Center

Update

Um dieses Problem zu beheben, veröffentlichte Atlassian:

• Confluence Server und Data Center Version:

  • 8.3.3 oder neuer
  • 8.4.3 oder neuer
  • 8.5.2 (Long Term Support release) oder neuer

Sie können die neusten Versionen auf der Download-Seite von Confluence Server und Confluence Data Center herunterladen.

Mitigation

Die Installation einer korrigierten Version von Confluence ist der sicherste Weg, um CVE-2023-22515 zu beheben. Wenn Sie nicht in der Lage sind, Confluence sofort zu aktualisieren, empfehlen wir als vorübergehenden Workaround, den externen Netzwerkzugriff auf die betroffene Instanz zu beschränken.

Darüber hinaus können Sie bekannte Angriffsvektoren für diese Sicherheitsanfälligkeit entschärfen, indem Sie den Zugriff auf die /setup/*-Endpunkte auf Confluence-Instanzen blockieren. Dies ist auf der Netzwerkebene möglich oder indem Sie die folgenden Änderungen an den Confluence-Konfigurationsdateien vornehmen.

1. Ändern Sie auf jedem Knoten /<confluence-install-dir>/confluence/WEB-INF/web.xml und fügen Sie den folgenden Codeblock hinzu (kurz vor dem </web-app>-Tag am Ende der Datei):

   Code Block
   <security-constraint> <web-resource-collection> <url-pattern>/setup/*</url-pattern> <http-method-omission>*</http-method-omission> </web-resource-collection> <auth-constraint /> </security-constraint>

   
   

2. Starten Sie Confluence neu.

Diese Aktion blockiert den Zugriff auf Setup-Seiten, die für die typische Confluence-Nutzung nicht erforderlich sind. Weitere Details finden Sie auf der FAQ-Seite von Atlassian.

Erkennung von Bedrohungen

Neben dem Upgrade auf eine korrigierte Version empfehlen wir Ihnen, alle betroffenen Confluence-Instanzen auf die folgenden Indikatoren für eine Gefährdung zu überprüfen:

• unerwartete Mitglieder der Gruppe confluence-administrator

• unerwartet neu angelegte Benutzerkonten

• Anfragen an /setup/*.action in Netzwerkzugriffsprotokollen

• Vorhandensein von /setup/setupadministrator.action in einer Ausnahmemeldung in atlassian-confluence-security.log im Confluence-Stammverzeichnis

Weitere Details dazu finden Sie auf der Atlassians FAQ-Seite.

Sie verwenden Confluence Cloud

Sie nutzen Confluence Server oder Confluence Data Center auf von bitvoodoo betriebenen Servern

Mitigation

You use Confluence Server or Confluence Data Center 

Update

To address this issue, Atlassian released:

• Confluence Server and Data Center versions:

  • 8.3.3 or later
  • 8.4.3 or later
  • 8.5.2 (Long Term Support release) or later

You can download the latest versions from the download pages for Confluence Server or Confluence Data Center.

Mitigation

Installing a fixed version of Confluence is the safest way to remediate CVE-2023-22515. If you are unable to immediately upgrade Confluence, then as a temporary workaround we recommend restricting external network access to the affected instance.

Additionally, you can mitigate known attack vectors for this vulnerability by blocking access to the /setup/* endpoints on Confluence instances. This is possible at the network layer or by making the following changes to Confluence configuration files.

1. On each node, modify /<confluence-install-dir>/confluence/WEB-INF/web.xml  and add the following block of code (just before the </web-app> tag at the end of the file):
   

   Code Block
   <security-constraint> <web-resource-collection> <url-pattern>/setup/*</url-pattern> <http-method-omission>*</http-method-omission> </web-resource-collection> <auth-constraint /> </security-constraint>

   
   

2. Restart Confluence.

This action will block access to setup pages that are not required for typical Confluence usage, for further details see Atlassians FAQ page.

Threat detection

As well as upgrading to a fixed version, we recommend you check all affected Confluence instances for the following indicators of compromise:

• unexpected members of the confluence-administrator group

• unexpected newly created user accounts

• requests to /setup/*.action in network access logs

• presence of /setup/setupadministrator.action in an exception message in atlassian-confluence-security.log in the Confluence home directory

Further details on how to do the above are available on Atlassians FAQ page.

You use Confluence Cloud

You use Confluence Server or Confluence Data Center on servers operated by bitvoodoo

Mitigation