Ce matin, un avis de vulnérabilité de sécurité de gravité critique a été publié, détaillant les vulnérabilités dans les versions de Confluence Server et Data Center. Veuillez lire le résumé ci-dessous concernant les vulnérabilités ainsi que les mesures à prendre si votre version actuelle de Confluence est affectée.
Résumé de la vulnérabilité
Cet avis divulgue une vulnérabilité de sécurité de gravité critique qui a été introduite dans la version 6.1.0 de Confluence Server et Confluence Data Center. Les versions de Confluence Server et Confluence Data Center à partir de 6.1.0 avant 6.6.16 (la version corrigée pour 6.6.x), de 6.7.0 avant 6.13.7 (la version corrigée pour 6.13.x), et de 6.14.0 avant 6.15.8 (la version corrigée pour 6.15.x) sont affectées par cette vulnérabilité. Les instances Atlassian Cloud ne sont pas affectées par le problème décrit sur cette page. Les clients qui ont mis à niveau Confluence Server ou Confluence Data Center vers la version 6.6.16, 6.13.7 ou 6.15.8 ne sont pas concernés. Les clients qui ont téléchargé et installé les versions suivantes de Confluence Server ou Data Center sont concernés :
Toutes les versions 6.1.x
Toutes les versions 6.2.x
Toutes les versions 6.3.x
Toutes les versions 6.4.x
Toutes les versions 6.5.x
Toutes les versions 6.6.x avant 6.6.16 (la version corrigée pour 6.6.x)
Toutes les versions 6.7.x
Toutes les versions 6.8.x
Toutes les versions 6.9.x
Toutes les versions 6.10.x
Toutes les versions 6.11.x
Toutes les versions 6.12.x
Toutes les versions 6.13.x avant 6.13.7 (la version corrigée pour 6.13.x)
Toutes les versions 6.14.x
Toutes les versions 6.15.x avant 6.15.8 (la version corrigée pour 6.15.x)
Veuillez mettre à jour vos installations Confluence Server et Confluence Data Center immédiatement pour corriger cette vulnérabilité.
Gravité
Atlassian évalue le niveau de sévérité de cette vulnérabilité comme critique, selon l'échelle publiée dans nos niveaux de sévérité Atlassian. Ceci est notre évaluation et vous devez évaluer son applicabilité à votre propre environnement informatique.
Ce que vous devez faire
Atlassian vous recommande de passer à la dernière version (6.14.2). Pour une description complète de la dernière version de Confluence Server, consultez les notes de version. Vous pouvez télécharger la dernière version de Confluence Server sur le site web de Atlassian.
Solution temporaire
- Arrêtez Confluence.
- Editez le fichier /bin/setenv.sh.
- Dans le bloc qui configure la variable CATALINA_OPTS, ajoutez la ligne suivante : CATALINA_OPTS="-Datlassian.confluence.export.word.max.embedded.images=0 ${CATALINA_OPTS}"
- Sauvegardez le fichier et redémarrez Confluence.
Source ::
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
Mise à jour de Confluence
Atlassian vous recommande de passer à la dernière version (6.15.8).
Si vous avez besoin d'aide pour effectuer la mise à niveau ou appliquer la solution de contournement, contactez-nous à l'adresse suivante : Support@blendedperspectives.com.
Si vous êtes client de l'hébergement Blended Perspectives, nous avons déjà notifié et appliqué la solution de contournement, ce sont quelques-uns des avantages de l'hébergement avec nous.
Bon codage.
Blended Perspectives