Meelogic Atlassian Blog

Confluence Server und Data Center Systemverwundbarkeit 2019-12-18

Zusammenfassung der Verwundbarkeit

Dieser Hinweis enthüllt eine Sicherheitslücke mittleren Schweregrades, die in Version 6.11.0 von Confluence Server und Confluence Data Center enthalten ist. Folgende Versionen von Confluence Server und Confluence Data Center sind von dieser Sicherheitslücke betroffen:

  • von 6.11.0 vor 6.13.10 (behoben in 6.13.10)
  • von 6.14.0 vor 6.15.10 (behoben in 6.15.10)
  • von 7.0.1 vor 7.0.5 (behoben in 7.0.5)
  • von 7.1.0 vor 7.1.2 (behoben in 7.1.2)
  • von 7.2.0-beta1 vor 7.2.0 (behoben in 7.2.0)
Instanzen der Atlassian Cloud wurden bereits auf eine Version von Confluence aktualisiert, die das auf dieser Seite beschriebene Problem nicht hat.
Kunden, die ein Upgrade von Confluence Server und Confluence Data Center auf Version 6.13.10, 6.15.10, 7.0.5, 7.1.2, 7.2.0 oder höher durchgeführt haben, sind nicht betroffen.
Kunden, die auf einer der oben aufgeführten betroffenen Versionen arbeiten, sollten Ihre Confluence Server- und Confluence Data Center-Installationen sofort aktualisieren, um diese Schwachstelle zu beheben.

 

Atlassian Companion man-in-the-middle

Schweregrad

Atlassian stuft den Schweregrad dieser Anfälligkeit als moderat ein, entsprechend der veröffentlichten Atlassian-Schweregrad-Skala. Diese Skala erlaubt es, den Schweregrad als kritisch, hoch, moderat oder niedrig einzustufen.

Dies ist unsere Einschätzung, und Sie sollten die Anwendbarkeit auf Ihre eigene IT-Umgebung bewerten.

Beschreibung
Im Confluence Previews-Plugin in Confluence Server und Confluence Data Center gab es eine Man-in-the-Middle (MITM)-Schwachstelle. Dieses Plugin wurde verwendet, um die Kommunikation mit der Atlassian Companion-Anwendung zu erleichtern. Das Confluence Previews-Plugin in Confluence Server und Confluence Data Center kommunizierte mit der Companion-Anwendung über den Domänennamen atlassian-domain-for-localhost-connectionsonly.com, dessen DNS A-Eintrag auf 127.0.0.1 zeigt. Zusätzlich wurde ein signiertes Zertifikat für die Domäne mit der Companion-Anwendung öffentlich verteilt. Ein Angreifer, der in der Lage ist, die DNS-Auflösung seines Opfers zu kontrollieren, könnte einen Man-in-the-Middle-Angriff (MITM-Angriff) zwischen dem Confluence-Server (oder dem Confluence Data Center) und der Domäne atlassian-domain-for-localhost-connections-only.com durchführen, die für die Verwendung mit der Companion-Anwendung vorgesehen ist. Dieses Zertifikat wurde widerrufen, jedoch war die Verwendung des Domainnamens atlassian-domain-for-localhost-connections-only.com im Confluence-Server und in Confluence Data Center weiterhin möglich. Ein Angreifer konnte den beschriebenen Angriff durchführen, indem er seinem Opfer den Zugriff auf die Widerrufsinformationen des Zertifikats verweigerte und einen Man-in-the-Middle-Angriff (MITM-Angriff) durchführen, um Dateien zu beobachten, die mit der Companion-Anwendung bearbeitet und/oder geändert wurden und um auf einige begrenzte Benutzerinformationen zuzugreifen.

Versionen von Confluence Server und Confluence Data Center ab 6.11.0 vor 6.13.10 (die Fix-Version für 6.13.x, 6.12.x und 6.11.x), ab 6.14.0 vor 6.15.10 (die Fix-Version für 6.15.x), ab 7. 0.1 vor 7.0.5 (die Fix-Version für 7.0.x), von 7.1.0 vor 7.1.2 (die Fix-Version für 7.1.x) und von 7.2.0-beta1 vor 7.2.0 (die Fix-Version für 7.2.x) sind von dieser Schwachstelle betroffen. Dieses Problem kann hier nachverfolgt werden:CONFSERVER-59244 – Confluence-Server und Data Center – Atlassian Companion Man-in-the-Middle – CVE-2019-15006 Close

 

Was Sie tun müssen

Atlassian empfiehlt Ihnen, entweder auf die neueste Enterprise-Version 6.13.10 oder auf die neueste Version zu aktualisieren. Eine vollständige Beschreibung der neuesten Version von Confluence Server und Confluence Data Center finden Sie in den Versionshinweisen. Die neueste Version von Confluence Server und Confluence Data Center Enterprise können Sie im Download-Center herunterladen.

Führen Sie ein Upgrade auf eine korrigierte Version von Confluence Server und Confluence Data Center durch.

(1) Wenn Sie eine aktuelle Enterprise-Version (eine Enterprise-Version, die am 18. Dezember 2017 oder später veröffentlicht wurde) oder eine ältere Version (die vor dem 2. Dezember 2018 veröffentlicht wurde) haben, führen Sie ein Upgrade auf die neueste Enterprise-Version (6.13.10) durch.

6.13.x
6.12.x
6.11.x
6.13.10 (empfohlen)

(2) Wenn Sie eine aktuelle Funktionsversion haben (eine Funktionsversion, die am 18. Juni 2019 oder später veröffentlicht wurde), führen Sie ein Upgrade auf die nächste Fehlerbehebungsversion Ihrer aktuellen Funktionsversion durch.

7.1.x7.1.2
7.0.x7.0.5
6.15.x6.15.10

(3) Wenn Sie eine ältere Version haben (eine Funktionsversion, die vor dem 18. Juni 2019 veröffentlicht wurde), aber kein Upgrade auf eine Enterprise-Version durchführen können, führen Sie ein Upgrade auf eine der folgenden Versionen durch:

6.14.x6.15.10
7.0.5
7.1.2
7.2.0

 

Linderung (Mitigation)

Wenn Sie Confluence-Server oder Data Center nicht sofort aktualisieren können oder gerade zur Confluence-Cloud migrieren, können Sie als vorübergehende Abhilfe das Confluence-Plugin für die Vorschau manuell aktualisieren oder die Integration der Companion App im Confluence-Plugin für die Vorschau deaktivieren.

Wenn Sie Confluence 6.13 und höher haben, aktualisieren Sie das Plugin manuell.

So aktualisieren Sie das Confluence-Plugin für die Vorschau

  1. Laden Sie die entsprechende Version des Confluence-Plugins für Ihre Version von Confluence aus der folgenden Tabelle herunter.
  2. Gehen Sie zu > Apps verwalten.
  3. Wählen Sie Hochladen und folgen Sie den Anweisungen, um das Plugin manuell zu installieren.
Confluence 7.1.xconfluence-previews-9.1.5
Confluence 7.0.xconfluence-previews-9.0.4
Confluence 6.15.7 – 6.15.10confluence-previews-8.2.2
Confluence 6.15.0 – 6.15.6confluence-previews-8.1.5
Confluence 6.14.xconfluence-previews-8.0.7
Confluence 6.13.x (Enterprise release)confluence-previews-7.0.19

Um zu bestätigen, dass das Plugin korrekt aktualisiert wurde, gehen Sie zu > Apps verwalten und suchen Sie nach dem Confluence Previews-Plugin. Erweitern Sie die Liste und überprüfen Sie, ob die Versionsnummer mit der oben aufgeführten Plugin-Version für Ihre Version von Confluence übereinstimmt.

 

Wenn Sie Confluence 6.11 oder 6.12 haben, deaktivieren Sie die Integration der Companion App

Dadurch wird die Funktion “Bearbeiten mit” deaktiviert. So deaktivieren Sie die Integration der Atlassian Companion App:

  1. Gehen Sie zu > Apps verwalten.
  2. Wählen Sie Systemanwendungen aus dem Dropdown-Menü und suchen Sie dann nach Confluence-Vorschauen.
  3. Klicken Sie darauf, um die Liste der Plugin-Module zu erweitern.
  4.  Deaktivieren Sie die folgenden Plugin-Module. Möglicherweise sind nicht alle diese Module in Ihrer Version des Plugins vorhanden.
    • Edit With plugin for the Media Viewer (companion-plugin)
    • Embedded ‘Edit With’ button (embedded-edit)
    • ADCClient AMD Wrapper (companion-client-wrapper)
    • Edit With button (companion-plugin-button)
    • Templates for Edit With feature (companion-plugin-templates)

Um zu bestätigen, dass die Integration der Companion App erfolgreich deaktiviert wurde, fügen Sie eine Datei in eine Seite ein. Zeigen Sie die Seite an und klicken Sie auf die Miniaturansicht der Datei, um die Datei in der Vorschau anzuzeigen. Das Menü “Bearbeiten mit” sollte nicht erscheinen.