Favourite Pages

Liebe Kundin, Lieber Kunde

Atlassian hat am Mittwoch ein Critical Security Advisory Announcement veröffentlicht, in dem sie auf eine kritische Sicherheitslücke in Confluence hinweisen. Betroffen sind sowohl Server wie auch Data Center Installationen.

Was ist passiert und warum ist dieser Bug kritisch?

Aufgrund einer "OGNL injection vulnerabilty" können authentifizierte User, und in gewissen Instanzen nicht authentifizierte User, willkürlichen Quellcode auf Confluence Server und Data Center ausführen.

Ist Ihr System betroffen?

bitvoodoo Cloud - Der Workaround wird heute Donnerstag auf allen Instanzen angewendet.

Sollten Sie Ihr Confluence in der bitvoodoo Cloud gehostet haben und nicht bei sich selber, werden wir den unten aufgeführten Workaround heute Nachmittag implementieren. Leider muss dazu Confluence neu gestartet werden. Dies erfolgt in den nächsten Stunden. Wir empfehlen dennoch, ein Update in naher Zukunft durchzuführen.

Sie hosten Confluence selber
Betroffen sind folgende Versionen von Confluence Server und Data Center:

All 4.x.x versions
All 5.x.x versions
All 6.0.x versions
All 6.1.x versions
All 6.2.x versions
All 6.3.x versions
All 6.4.x versions
All 6.5.x versions
All 6.6.x versions
All 6.7.x versions
All 6.8.x versions
All 6.9.x versions
All 6.10.x versions
All 6.11.x versions
All 6.12.x versions
All 6.13.x versions before 6.13.23
All 6.14.x versions
All 6.15.x versions
All 7.0.x versions
All 7.1.x versions
All 7.2.x versions
All 7.3.x versions
All 7.4.x versions before 7.4.11
All 7.5.x versions
All 7.6.x versions
All 7.7.x versions
All 7.8.x versions
All 7.9.x versions
All 7.10.x versions
All 7.11.x versions before 7.11.6
All 7.12.x versions before 7.12.5

Wie kann man die Sicherheitslücke am besten beheben?

Atlassian empfiehlt einen Upgrade auf den letzten Long Term Support Release. Alle Einzelheiten zur letzten Version finden Sie unter
Confluence Server and Data Center Release Notes.

Falls Sie eine betroffene Version im Einsatz haben, wird ein Upgrade auf Version 7.13.0 (LTS) oder höher empfohlen.

Falls Sie 6.13.x Versionen betreiben und ein Upgrade auf 7.13.0 (LTS) nicht möglich ist, aktualisieren Sie auf die Version 6.13.23.

Falls Sie 7.4.x Versionen betreiben und ein Upgrade auf 7.13.0 (LTS) nicht möglich ist, aktualisieren Sie auf die Version 7.4.11.

Falls Sie 7.11.x Versionen betreiben und ein Upgrade auf 7.13.0 (LTS) nicht möglich ist, aktualisieren Sie auf die Version 7.11.6.

Falls Sie 7.12.x Versionen betreiben und ein Upgrade auf 7.13.0 (LTS) nicht möglich ist, aktualisieren Sie auf die Version 7.12.5.

Wie kann ich einen Workaround implementieren?

Falls Sie nicht imstande sind, ein Upgrade umgehend durchzuführen, können Sie (als vorübergehende Lösung) das Problem durch Ausführung des unten aufgeführten Skripts entschärfen. Das Skript muss auf dem Betriebssystem des Servers ausgeführt werden, der für den Betrieb von Confluence zuständig ist.

Falls Sie Confluence in einem Cluster betreiben, müssen Sie diese Prozedur auf jedem Knoten wiederholen. Der ganze Cluster muss nicht heruntergefahren werden.

Shut down Confluence.
Download the cve-2021-26084-update.sh to the Confluence Linux Server.
Edit the cve-2021-26084-update.sh file and set INSTALLATION_DIRECTORY to your Confluence installation directory, for example:
INSTALLATION_DIRECTORY=/opt/atlassian/confluence
Save the file.
Give the script execute permission.
chmod 700 cve-2021-26084-update.sh
Change to the Linux user that owns the files in the Confluence Installation directory, for example:
$ ls -l /opt/atlassian/confluence | grep bin drwxr-xr-x 3 root root 4096 Aug 18 17:07 bin # In this first example, we change to the 'root' user # to run the workaround script $ sudo su root
$ ls -l /opt/atlassian/confluence | grep bin drwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin # In this second example, we need to change to the 'confluence' user # to run the workaround script $ sudo su confluence
Run the workaround script.
$ ./cve-2021-26084-update.sh
The expected output should confirm up to five files updated and end with:
Update completed!
The number of files updated will differ, depending on your Confluence version.
Restart Confluence.

Denken Sie daran, falls Sie Confluence in einem Cluster betreiben, stellen Sie sicher, dass das Skript auf allen Knoten ausgeführt wird.

Falls Sie Confluence in einem Cluster betreiben, müssen Sie diese Prozedur auf jedem Knoten wiederholen. Der ganze Cluster muss nicht heruntergefahren werden.

Shut down Confluence.
Download the cve-2021-26084-update.ps1 to the Confluence Windows Server.
Edit the cve-2021-26084-update.ps1 file and set the INSTALLATION_DIRECTORY. Replace Set_Your_Confluence_Install_Dir_Here with your Confluence installation directory, for example:
$INSTALLATION_DIRECTORY='C:\Program Files\Atlassian\Confluence'
Save the file.
Open up a Windows PowerShell (use Run As Administrator).
Due to PowerShell’s default restrictive execution policy, run the PowerShell using this exact command:
Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile -
The expected output should show the status of up to five files updated, encounter no errors (errors will usually show in red) and end with:
Update completed!
The number of files updated will differ, depending on your Confluence version.
Restart Confluence.

Denken Sie daran, falls Sie Confluence in einem Cluster betreiben, stellen Sie sicher, dass das Skript auf allen Knoten ausgeführt wird.

Dürfen wir Sie beim Update unterstützen? Melden Sie sich bitte unter support@bitvoodoo.ch bei uns.

Freundliche Grüsse
Ihr bitvoodoo Team

Date	25 Aug 2021
Product	Confluence Server Confluence Data Center
Vulnerability	Critical
Official link	https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html