EN


Security advisory Confluence Server and Data Center - CVE-2021-26084 - Confluence Server Webwork OGNL injection

published by Atlassian on August 25th 2021

Atlassian has published a security advisory affecting Confluence Server and Data Center products: https://jira.atlassian.com/browse/CONFSERVER-67940

Confluence Cloud customers are not affected.


What are the risks? 

An OGNL injection vulnerability exists that would allow an authenticated user, and in some instances unauthenticated user, to execute arbitrary code on a Confluence Server or Data Center instance. 


How to protect your instance? 

The fix recommended by Atlassian is to upgrade to the latest Long Term Support release:

  • If you are running an affected version upgrade to version 7.13.0 (LTS) or higher.
  • If you are running 6.13.x versions and cannot upgrade to 7.13.0 (LTS) then upgrade to version 6.13.23.
  • If you are running 7.4.x versions and cannot upgrade to 7.13.0 (LTS) then upgrade to version 7.4.11.
  • If you are running 7.11.x versions and cannot upgrade to 7.13.0 (LTS) then upgrade to version 7.11.6.
  • If you are running 7.12.x versions and cannot upgrade to 7.13.0 (LTS) then upgrade to version 7.12.5.

A workaround is available. Our recommendation is to apply that workaround and not necessarily to upgrade your Confluence instance right away.

→ If your instance is hosted by Valiantys
We have conducted an impact analysis on all the Confluence instances managed by our teams, and instead of the recommended upgrade the workaround provided by Atlassian to mitigate the risk for all our hosted Confluence instances, which consists in the execution of a script updating some of the installation files, is going to be deployed.

→ If your instance isn't hosted by Valiantys
We recommend our clients to apply the security patch:

Confluence Server or Data Center Node running on Linux based Operating System

  1. Shut down Confluence

  2. Download the cve-2021-26084-update.sh to the Confluence Linux Server 

  3. Edit the cve-2021-26084-update.sh file and set INSTALLATION_DIRECTORY to your Confluence installation directory, for example: 

    INSTALLATION_DIRECTORY=/opt/atlassian/confluence

  4. Save the file

  5. Give the script execute permission:

    chmod 700 cve-2021-26084-update.sh

  6. Change to the Linux user that owns the files in the Confluence Installation directory, for example:

    $ ls -l /opt/atlassian/confluence | grep bin
    drwxr-xr-x 3 root root 4096 Aug 18 17:07 bin
     
    # In this first example, we change to the 'root' user 
    # to run the workaround script  
    $ sudo su root

    $ ls -l /opt/atlassian/confluence | grep bin drwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin # In this second example, we need to change to the 'confluence' user # to run the workaround script $ sudo su confluence

  7. Run the workaround script.

    $ ./cve-2021-26084-update.sh

  8. The expected output should confirm up to five files updated and end with:

    Update completed!

    The number of files updated will differ, depending on your Confluence version.

  9. Restart Confluence

Confluence Server or Data Center Node running on Microsoft WIndows

  1. Shut down Confluence

  2. Download the cve-2021-26084-update.ps1 to the Confluence Windows Server

  3. Edit the cve-2021-26084-update.ps1 file and set the INSTALLATION_DIRECTORY. Replace Set_Your_Confluence_Install_Dir_Here with your Confluence installation directory, for example:

    $INSTALLATION_DIRECTORY='C:\Program Files\Atlassian\Confluence'

  4. Save the file

  5. Open up a Windows PowerShell (use Run As Administrator)

  6. Due to PowerShell’s default restrictive execution policy, run the PowerShell using this exact command:

    Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile -

  7. The expected output should show the status of up to five files updated, encounter no errors (errors will usually show in red) and end with:

    Update completed!

    The number of files updated will differ, depending on your Confluence version.

  8. Restart Confluence

If you run Confluence in a cluster, make sure you run this script on all of your nodes.


If the patch fails for any reason, then we recommend that you upgrade your Confluence version to one of the fixed versions detailed at the beginning of this page.



You can find more information about the workarounds in the security advisory published by Atlassian.

If you need assistance to help you fix this issue, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you choose to upgrade your instance and need help, contact us.


We thank you for your confidence and we will be happy to help you if you have any questions.

Best regards,

The Valiantys Managed Services Team

FR


Faille de sécurité Confluence Server and Data Center - CVE-2021-26084 - Confluence Server Webwork OGNL injection

publiée par Atlassian le 25 Août 2021

Atlassian a publié une faille de sécurité concernant les produits Confluence Server et Data Center : https://jira.atlassian.com/browse/CONFSERVER-67940

Les clients Confluence Cloud ne sont pas concernés par cette faille de sécurité.


Quels sont les risques ? 

Une vulnérabilité d'injection OGNL permettrait à un utilisateur authentifié, et dans certains cas à un utilisateur non authentifié, d'exécuter du code arbitraire sur une instance Confluence Server ou Data Center.


Comment protéger votre instance ? 

Le correctif recommandé par Atlassian consiste en une montée vers la dernière version LTS :

  • Si la version de votre instance est affectée, montez vers la version 7.13.0 (LTS) ou une version ultérieure.
  • Si la version de votre instance est 6.13.x et que vous ne pouvez pas effectuer la montée vers la version 7.13.0 (LTS), montez vers la version 6.13.23.
  • Si la version de votre instance est 7.4.x et que vous ne pouvez pas effectuer la montée vers la version 7.13.0 (LTS), montez vers la version 7.4.11.
  • Si la version de votre instance est 7.11.x et que vous ne pouvez pas effectuer la montée vers la version 7.13.0 (LTS), montez vers la version 7.11.6.
  • Si la version de votre instance est 7.12.x et que vous ne pouvez pas effectuer la montée vers la version 7.13.0 (LTS), montez vers la version 7.12.5.

Un moyen de contournement est disponible. Notre recommandation est de mettre en place ce contournement, sans nécessairement effectuer une montée de version immédiatement.

→ Si votre instance est hébergée par Valiantys
Nous avons mené une analyse d'impact sur toutes les instances Confluence gérées par nos équipes, et au lieu de la mise à niveau recommandée, la solution de contournement fournie par Atlassian, qui consiste à exécuter un script mettant à jour certains des fichiers d'installation, va être déployée sur toutes les instances concernées.

→ Si votre instance n'est pas hébergée par Valiantys
Nous recommandons à nos clients d'appliquer la solution de contournement :

Confluence Server ou Data Center installé sur un serveur Linux

  1. Arrêter Confluence

  2. Télécharger le fichier cve-2021-26084-update.sh sur le serveur Linux hébergeant Confluence

  3. Editer le fichier cve-2021-26084-update.sh et renseigner la variable INSTALLATION_DIRECTORY avec le répertoire d'installation de Confluence, par exemple : 

    INSTALLATION_DIRECTORY=/opt/atlassian/confluence
  4. Sauver les modifications

  5. Attribuer les droits d'exécution de ce script:

    chmod 700 cve-2021-26084-update.sh
  6. Changer l'utilisateur vers celui qui est propriétaire des fichiers du répertoire d'installation de Confluence, par exemple :

    $ ls -l /opt/atlassian/confluence | grep bin
    drwxr-xr-x 3 root root 4096 Aug 18 17:07 bin
     
    # In this first example, we change to the 'root' user 
    # to run the workaround script  
    $ sudo su root

    $ ls -l /opt/atlassian/confluence | grep bin drwxr-xr-x 3 confluence confluence 4096 Aug 18 17:07 bin # In this second example, we need to change to the 'confluence' user # to run the workaround script $ sudo su confluence

  7. Exécuter le script correctif.

    $ ./cve-2021-26084-update.sh

  8. L'issue de l'exécution doit être une confirmation de modification de 5 fichiers au maximum et le message suivant :

    Update completed!

    Fonction de la version de votre instance Confluence, le nombre de fichiers modifiés sera différent.

  9. Redémarrer Confluence

Confluence Server ou Data Center installé sur un serveur Microsoft WIndows

  1. Arrêter Confluence

  2. Télécharger le fichier cve-2021-26084-update.ps1 sur le serveur Windows hébergeant Confluence

  3. Editer le fichier cve-2021-26084-update.ps1 et définir la variable INSTALLATION_DIRECTORY en remplaçant Set_Your_Confluence_Install_Dir_Here avec le répertoire d'installation de Confluence, par exemple :

    $INSTALLATION_DIRECTORY='C:\Program Files\Atlassian\Confluence'

  4. Sauver les modifications

  5. Ouvrir Windows PowerShell (avec l'option Run As Administrator)

  6. En raison de la politique d'exécution restrictive par défaut de PowerShell, exécutez cette commande précisément :

    Get-Content .\cve-2021-26084-update.ps1 | powershell.exe -noprofile -

  7. Le résultat doit montrer le statut des 5 fichiers modifiés au maximum, sans afficher d'erreur (les erreurs sont affichées en rouge en général) et se terminer avec le message suivant :

    Update completed!

    Fonction de la version de votre instance Confluence, le nombre de fichiers modifiés sera différent.

  8. Redémarrer Confluence

Si Confluence est installé en mode Cluster, assurez vous d'exécuter le script sur tous les noeuds.


Si ce correctif échoue pour une raison quelconque, nous vous recommandons la montée de votre version de Confluence vers l'une des versions corrigées détaillées plus haut.



Vous pouvez trouver plus d'informations sur les solutions de contournement dans l'annonce publiée par Atlassian.

Si vous avez besoin d'aide pour corriger cette faille, n'hésitez pas à créer un ticket de support sur notre portail dédié. 

Si vous souhaitez tout de même effectuer une montée de version et avez besoin d'aide, contactez-nous


Nous vous remercions de votre confiance et nous restons à votre disposition si vous avez des questions.

Cordialement,

L'équipe Managed Services de Valiantys

  • No labels