Atlassian旗下企業維基與協同軟體Confluence一款App寫死在程式中(hardcoded)的密碼,上周遭人透過推特公布,可能讓企業用戶的內部資料因此被外人存取。Atlassian呼籲用戶應儘速升級到最新版App。

Atlassian上周三發布關於3項漏洞的安全公告,其中一項是CVE-2022-26138,是發生在Confluence Server及Confluence Data Center專用的Questions for Confluence App。這項App可讓用戶快速獲得Confluence常見問題的技術支援。

該漏洞出於該App一個帳號密碼寫死(hardcoded)在程式碼中。根據Atlassian說明,在Confluence Server或Data Center啟動Questions for Confluence App後,它會建立一個用戶名稱為disabledsystemuser的Confluence用戶帳號,該帳號用於協助管理員將資料從App搬到Confluence Cloud。Disabledsystemuser建好時有個寫死的密碼,加入到用戶群組,以方便用戶查詢、編輯Confluence所有預設非管制的維基頁面。取得這個密碼的遠端非授權攻擊者將可登入Confluence及存取Confluence合法用戶具有存取權的任何頁面。

在公布安全公告的隔天Atlassian又緊急公告,這個重要但寫死的密碼已被外部組織公布於推特上。CVE-2022-26138風險被列為重大。Atlassian指出,有鑒於密碼已公開,受影響系統應立即解決該漏洞。

如果Confluence Server或Data Center執行個體上,出現啟用中的disabledsystemuser用戶或用戶帳號、或是dontdeletethisuser[@]email.com,表示系統曝險。但曾經安裝Questions for Confluence App,之後又移除者也可能會發現上述資訊。

爆出漏洞的App是Confluence Server(2.7.x、3.0.x)或Data Center的Questions for Confluence App,存取Confluence Cloud的App則不受影響。Atlassian提醒,雖然有問題的App是會建密碼寫死的版本,但沒有這些版本App的Confluence環境還是可能受影響。

解決方案有二:一是升級到更新版Questions for Confluence App,分別是2.7.38及3.0.5,最新版不會自動建disabledsystem帳號,也會移除曾建立的帳號。但如果Confluence是設定使用唯讀的外部目錄(如Atlassian Cloud),則需使用另一個方法:即關閉或刪除disabledsystem帳號。

Atlassian警告,光是移除Questions for Confluence App並不能同時刪除disabledsystemuser帳號,必須安裝最新版App。

上周Atlassian修補的另2個漏洞是CVE-2022-26136 CVE-2022-26137,是同屬可讓遠端攻擊者呼叫繞過Servlet Filters的漏洞。兩項漏洞影響Confluence Server/Data Center、Bamboo Server/Data Center、Bitbucket Server/Data Center、Jira Server/Data Center、 Jira Service Management Server、Fisheye及Crucible等。


熱門新聞

Advertisement