请及时修复 Atlassian & Apache 产品漏洞

Atlassian Confluence

Atlassian 官方于 3 月 20 日发布安全通告修复了两个影响 Confluence Server 与Confluence Data Center 且官方定级为严重的漏洞,漏洞编号为 CVE-2019-3395 与 CVE-2019-3396。

请及时修复 Atlassian & Apache 产品漏洞

漏洞描述

Atlassian 官方于 3 月 20 日发布安全通告修复了两个影响 Confluence Server 与Confluence Data Center 且官方定级为严重的漏洞,漏洞编号为 CVE-2019-3395 与 CVE-2019-3396。

CVE-2019-3395 是存在于 Confluence Server 与 Confluence Data Center 中 WebDAV 插件中的 SSRF 漏洞,官方将此漏洞定级为严重。攻击者可通过此漏洞迫使 Confluence Server与Confluence Data Center 发送任意HTTP/WebDAV 请求。

CVE-2019-3396 是存在于Confluence Server 与 Confluence Data Center 中 Widget Connector 中的 SSTI (server-side template injection)服务端模板注入漏洞,官方将此漏洞定级为严重。通过此漏洞可实现目录穿越与远程代码执行。

风险等级

预警等级:蓝色预警(一般事件)

影响范围

根据官方通告,以下版本的 Confluence Server 与 Confluence Data Center 受到影响:

All 1.x.x,2.x.x, 3.x.x, 4.x.x and 5.x.x versions

All 6.0.x,6.1.x, 6.2.x, 6.3.x, 6.4.x, and 6.5.x versions

All 6.6.xversions before 6.6.12

All 6.7.x,6.8.x, 6.9.x, 6.10.x and 6.11.x versions

All 6.12.xversions before 6.12.3

All 6.13.xversions before 6.13.3

All 6.14.xversions before 6.14.2

处置建议

官方已发布更新,请安装官方更新。

已修复版本如下:

Version 6.6.12 and higherversions of 6.6.x

Version 6.12.3 and higherversions of 6.12.x

Version 6.13.3 and higherversions of 6.13.x

Version 6.14.2 and higher

参考资料

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html#ConfluenceSecurityAdvisory-2019-03-20-Mitigation

Apache HTTP

4月2日,Apache 官方发布更新补丁,修复了存在于 Apache HTTP 服务器中的权限提升漏洞,该漏洞 CVE 编号为:CVE-2019-0211,可造成本地权限提升。

漏洞描述

安全研究人员于 2019 年 2 月 22 将此漏洞报告至 Apache 官方,官方于 4 月 2 日正式发布修复补丁。

当 Apache 使用 MPM event、worker 或 prefork 模式时,运行在低权限子进程或线程中的代码将有可能窃取父进程的权限(通常为 ROOT 权限)以执行任意代码,造成权限提升。据了解,目前尚无 PoC/Exp 公开。

风险等级

预警等级:蓝色预警(一般事件)

影响范围

根据官方安全通告文档,此漏洞所影响的 Apache HTTP 服务器版本为:

2.4.38, 2.4.37, 2.4.35, 2.4.34,2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18,2.4.17

 (Windows平台的 Apache HTTP 服务器不受此漏洞影响)

处置建议

官方于 2.4.39 版本修复了此漏洞,请升级至该版本。

参考资料

https://httpd.apache.org/security/vulnerabilities_24.html

版权声明

文章来源:昆仑联通

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
0 条回复 A 作者 M 管理员
    所有的伟大,都源于一个勇敢的开始!
欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论