Vulnerabilidad Seguridad Confluence

CONFLUENCE

VULNERABILIDAD DE SEGURIDAD

Contactamos con ustedes para informarles de una vulnerabilidad de seguridad tipificada por Atlassian como crítica, detectada en el producto Confluence y comunicada por Atlassian hace unas horas.

¿Qué productos se ven afectados?

  • Atlassian Confluence Server
  • Atlassian Confluence Data Center

Pueden encontrar la comunicación oficial de Atlassian en el siguiente enlace (en inglés): Nota de vulnerabilidad 28 Agosto 2019.

También pueden seguir el avance de la incidencia en el siguiente enlace (en inglés):  Incidencia vulnerabilidad 10 Julio 2019


¿En qué consiste esta vulnerabilidad?

Un usuario con permisos para crear páginas en Confluence podría leer archivos en un directorio determinado donde usted podría tener información sensible como credenciales de conexión con LDAP.

Esta vulnerabilidad sólo puede ser explotada si existe información sensible en este directorio particular (<install-directory>/confluence/WEB-INF) o alguna de sus subcarpetas.

No obstante, ITERA le recomienda mitigar esta vulnerabilidad en cualquier caso.

¿Qué versiones de estos productos se ven afectadas?

Todas las versiones del producto desde la 6.1.x hasta la 6.15.x, ambas inclusive.

Algunas versiones específicas contienen un fix que bloquea esta vulnerabilidad. Si usted tiene alguna de las siguientes versiones, su instalación NO se verá afectada:

  • Cualquier versión mayor o igual a la 6.1.0  y menor a la 6.6.16
  • Cualquier versión mayor o igual a la 6.7.0  y menor a la 6.13.7
  • Cualquier versión mayor o igual a la 6.14.0  y menor a la 6.15.8
¿Cómo resolver esta vulnerabilidad?

En caso de estar afectado por esta vulnerabilidad, Atlassian expone tres vías para mitigarla:

1.- La respuesta recomendada por Atlassian para mitigar de forma permanente esta vulnerabilidad es actualizar el producto Confluence a la versión más reciente, esto es la 6.15.8 o superior.

2.- Una segunda alternativa de actualización es aplicar el fix específico que corrige la vulnerabilidad para cada versión de la aplicación. 

Esta opción está disponible sólo si usted tiene alguna de las siguientes versiones.

– Para versiones 6.6.x usted debe aplicar el parche 6.6.16.

– Para versiones 6.13.x usted debe aplicar el parche 6.13.17.

– Si usted dispone de una versión anterior a la 6.6.x o 6.13.x, deberá primero actualizar su versión de Confluence a alguna de ellas y posteriormente aplicar el fix.

3.- Como tercera alternativa, Altassian propone un workaround en caso de que no sea posible la actualización del producto que usted puede encontrar en este enlace.


En Itera podemos ayudarte

Contacta con un especialista


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.