Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

EN

Confluence Server and Data Center - Atlassian Companion Man-in-the-Middle - CVE-2019-15006

Atlassian issued a security alert that may affect you. It covers all versions of Confluence from 6.11.0: Atlassian Companion Man-in-the-Middle - CVE-2019-15006.

What are the risks? 

This medium vulnerability allows a potential attacker with DNS control on the domain of your Confluence to carry out a man-in-the-middle (MITM) attack between Confluence Server (or Confluence Data Center) and the atlassian-domain-for-localhost-connections-only.com domain intended to be used with the Companion application, which enables users to edit attachments online. 


How to protect your instance? 


→ If your instance is hosted by Valiantys

You benefit from all our expertise and service commitment. Please note that we have conducted an impact analysis on all Confluence instances managed by our teams and that we have contacted all customers affected by this vulnerability by submitting the remediation plan to them, which consists in either upgrading their instances or disabling the Companion app.

If you have not been contacted, it is because either you are not concerned by this vulnerability (using Confluence 6.10 or lower), or because we were able to apply Atlassian's suggested workaround, which consists of installing an updated version of the Confluence previews system app. 

We thank you for your confidence in our Cloud offer and we would be happy to help you if you have any questions.


→ If your instance isn't hosted by Valiantys

We could not verify if you are exposed to this vulnerability.

If you are using Confluence 6.10 or lower, you are not impacted by this vulnerability.

If you are using Confluence 6.11 or 6.12, we suggest you

  • either disable the following plugin modules under Confluence previews system app:
    • Edit With plugin for the Media Viewer (companion-plugin)
    • Embedded 'Edit With' button (embedded-edit)
    • ADCClient AMD Wrapper (companion-client-wrapper)

    • Edit With button (companion-plugin-button)

    • Templates for Edit With feature (companion-plugin-templates)

  • or you should upgrade to Confluence version 6.13 or more.

If you are using Confluence 6.13 or more, we suggest you install the Confluence previews system app as a workaround.


If you need assistance to verify your exposure to this security vulnerability, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you need help upgrading your instance, contact us.



Nathan Chantrenne
CTO Valiantys

FR

Faille de sécurité Confluence Server & Data Center- Atlassian Companion Man-in-the-Middle - CVE-2019-15006 publiée par Atlassian le 18 décembre 2019


Atlassian a publié une alerte de sécurité qui peut vous concerner. Elle porte sur toutes les versions de Confluence à partir de 6.11.0 : Atlassian Companion Man-in-the-Middle - CVE-2019-15006.


Quels sont les risques ? 

Cette vulnérabilité permet à un attaquant potentiel ayant la permission sur le domaine DNS de Confluence d'effectuer une attaque man-in-the-middle (MITM) entre votre serveur Confluence et le domaine atlassian-domain-for-localhost-connections-only.com normalement utilisé par l'app Companion, qui permet d'éditer des pièces jointes en ligne


Comment vous protéger ? 


→ Si votre instance est hébergée dans le Cloud Valiantys :

Vous bénéficiez ainsi de toute notre expertise et engagement de service. Sachez que nous avons mené une analyse d'impact sur toutes les instances Confluence gérées par nos équipes et que nous avons contacté tous les clients concernés par cette faille en leur soumettant le plan de remédiation, qui consiste en une montée de version Confluence ou la désactivation de l'app Companion. 

Si vous n'avez pas été contacté, c'est que vous n'êtes pas concerné par cette vulnérabilité (vous utilisez Confluence 6.10 ou moins), ou parce que nous avons déjà appliqué le contournement suggéré par Atlassian, qui consiste en l'installation d'une version à jour de l'app système Confluence previews.

Nous vous remercions de votre confiance dans notre offre Cloud et nous restons à votre disposition si vous avez des questions.

→ Si votre instance n'est pas hébergée dans le Cloud Valiantys :

Nous n'avons pu vérifier si elle est exposée ou non à cette vulnérabilité.

Si vous utilisez Confluence 6.10 ou moins, vous n'êtes pas impacté par cette vulnérabilité.

Si vous utilisez Confluence 6.11 ou 6.12, nous vous suggérons :

  • soit de désactiver les modules suivants dans l'app système Confluence previews:
    • Edit With plugin for the Media Viewer (companion-plugin)
    • Embedded 'Edit With' button (embedded-edit)
    • ADCClient AMD Wrapper (companion-client-wrapper)

    • Edit With button (companion-plugin-button)

    • Templates for Edit With feature (companion-plugin-templates)

  • soit

de monter en version
  • d'upgrader votre Confluence

en
  • vers la version 6.13 ou plus.

Si vous utilisez Confluence 6.13 ou plus, nous vous suggérons d'installer la version à jour de l'app système Confluence previews.


Si vous avez besoin d'assistance pour vérifier votre exposition à cette faille de sécurité, profitez de votre contrat de Support Valiantys et créez un ticket sur notre portail dédié. 

Si vous avez besoin d'aide pour upgrader votre instance, contactez-nous.



Nathan Chantrenne
CTO Valiantys