Confluence本地文件泄露漏洞(CVE-2019-3394)

背景信息:

2019年8月29日,监测到Confluence 官方发布安全更新,指出 Confluence Server 与 Confluence Data Center 在页面导出功能中存在本地文件泄露漏洞(CVE-2019-3394),远程攻击者可以利用此漏洞读取WEB-INF目录任意文件,包括程序源码和LDAP证书等,风险较大。

漏洞描述:

Confluence Server和Confluence Data Center在页面导出功能中存在本地文件泄露漏洞,该漏洞要求攻击者登录,且需要"创建文件空间"权限才能成功利用。

漏洞定级:

高危

漏洞影响范围:

影响的产品

  1. Confluence Server
  2. Confluence Data Center

影响的版本

  1. 6.1.0 <= version < 6.6.16
  2. 6.7.0 <= version < 6.13.7
  3. 6.14.0 <= version < 6.15.8

漏洞处置建议:

  1. 升级至安全版本,下载链接:https://www.atlassian.com/software/confluence/download/https://atlassian.com/software/confluence/download/data-center
  2. 官方临时缓解办法:设置属性atlassian.confluence.export.word.max.embedded.images=0,并重启应用,详见官方操作指引:https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html
  3. 6.6.16、6.13.7、6.15.8为最新安全版本

扩展知识引用:

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-08-28-976161720.html

相关推荐:
Microsoft .NET Framework 4.7 又被称为 .NET 2017,将会集成在 Windows 10 之中,同时支持 32/64 位,支持简体中文等多种语言。 .NET框架(.NET Framework) 是由微软开发,一个致力于敏捷软件开发(Agile so …
在申请数字证书之前,您必须先生成证书私钥和证书请求文件(CSR,Cerificate Signing Request),CSR是您的公钥证书原始文件,包含了您的服务器信息和您的单位信息,需要提交给CA认证中心。 在生成CSR文件时会 …
什么是 A (Address) 记录? 是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置您域名的二级域名。 什么是 CNAME (Canonical Nam …
1、常用的QQ尽可能不要在公共计算机上使用,如网吧,KTV等,可以用手机QQ呗; 2、尽可能地将你的密码复杂化,如今网上的普通加密都能够通过碰撞解密,但是都有一定限度的,强烈建议使用“大小写字母+特殊字 …
很多时候我们遇到目录中大量的文件以大写来命名的,又或是遇到特殊情况导致文件名全部变成大写,有强迫症的你该如何面对? 将下面的代码复制后,新建一个TXT文档,命名为“修改文件名为小写.bat”,打开并粘 …
拿起手机扫一扫即可带走我!