고객지원

CUSTOMER SUPPORT

<중요>Confluence Server 및 Data Center 보안 취약점 권고

작성자 : 관리자 작성일 : 2019-08-28 15:06 조회수 : 201

<중요>Confluence Server 및 Data Center 보안 취약점 권고


Confluence Server 및 Data Center 에 중대한 보안 취약점이 발견되어 

문제를 해결하기 위해 필요한 조치를 안내 드리오니 아래 내용을 확인해 주시기 바랍니다.


보안 취약점

Page Export시 로컬파일 공개 취약점

대상 제품

Confluence Server, Confluence Data Center

내용

Add Page 스페이스 권한이 있는 Remote attacker  / confluence / WEB-INF 디렉토리에서 다음과 같은 파일을 읽을 수 있습니다.

 

n  다른 서비스와 Integration하는 데 사용되는 Configuration 파일

n  유출 가능성이 있는 자격 증명(credentials) : LDAP 자격 증명이 atlassian-user.xml 파일에 지정된 경우, LDAP 자격 증명의 유출 가능성

n  기타 민감한 정보

  

확인 방법

        1. / confluence / WEB-INF 디렉토리 및 하위 디렉토리로 이동

        2. 해당 디렉토리(특히 / classes /)에서 LDAP 또는 Crowd 자격 증명 (crowd.properties, atlassian-user.xml)이 포함 된 파일이 있는지 확인

        3. 해당 디렉토리에 관리자가 저장해둔 다른 중요한 데이터가 포함 된 파일이 있는지 확인

위의 확인에서 아무것도 발견되지 않으면, 이 취약점이 즉시 악용되지는 않습니다그러나 이 디렉토리에서 Credential이 발견되면 비밀번호를 Cycle해야 합니다.

대응 방안

1. 가장 최신버전으로 업그레이드(6.15.8)

2. 최신 버전이 불가한 경우 bug fix가 된 버전으로 업그레이드: 하단 fixed version 참고

3. 당장 업그레이드를 할 수 없는 경우: Confluence Cloud로 마이그레이션 한 후 아래와 같은 임시 조치를 따릅니다


=>임시조치<============================================================

 

 이미지가 Word export에 이미지가 포함되지 않도록 설정 

 atlassian.confluence.export.word.max.embedded.images System Property에서 

 Word export에 포함되는 이미지의 maximum을 0으로 설정합니다.  


 시스템 속성 적용방법 

 ㄴㄴㄴWindows Service로 운영

  1. Windows에서 Confluence service가 있는 Services 로 이동 (예: "Atlassian Confluence Confluence12345678")
  2. Confluence service 더블클릭 후, Service name복사(예:"Confluence12345678")  
  3. Command Prompt 를 열고 \bin directory 로 cd

  4. 다음의 커맨드 실행 ("SERVICENAME"에 복사한 Service name 붙여넣기)

    tomcat9w //ES//SERVICENAME

    Note : Tomcat 버전에 따라, /bin에 있는 Tomcat 파일명을 확인해야 함  (tomcat8w.exe, 또는 tomcat9w.exe)

  5. Services dialog가 나타나면 Java 탭 선택 
  6. Java Options필드에 다음 라인을 추가

    -Datlassian.confluence.export.word.max.embedded.images=0

  7. 변경을 저장하고 restart. 

 SㄴWindows 매뉴얼 구동
  1. Stop Confluence.

  2. \bin\setenv.bat 파일을 연다. 
  3. CATALINA_OPTS에 다음 라인 추가

    set CATALINA_OPTS=-Datlassian.confluence.export.word.max.embedded.images=0 %CATALINA_OPTS%

  4. 변경을 저장하고restart Confluence


 LSSㄴLinux 메뉴얼 구동
  1. Stop Confluence.

  2. /bin/setenv.sh 파일을 연다.
  3. CATALINA_OPTS에 다음 라인을 추가

    CATALINA_OPTS="-Datlassian.confluence.export.word.max.embedded.images=0 ${CATALINA_OPTS}"

  4. 변경을 저장하고restart Confluence


Quick Start templates나 Windows service로 AWS에서 Confluence를 운영하고 있을 경우, Configuring System Properties 페이지를 참조하시기 바랍니다.

  확인 방법

  1. 이미지가있는 페이지를 만듭니다.
  2. 페이지를 Word로 Export합니다.
  3. Export한 페이지에 이미지가 포함되지 않았는지 확인하십시오. 
====================================================================================

모우소프트 고객전용 기술지원 서비스 : https://support.mousoft.co.kr

대상 버전 

           모든 6.1.x 버전

           모든 6.2.x 버전

           모든 6.3.x 버전

           모든 6.4.x 버전

           모든 6.5.x 버전

           6.6.16 이전의 모든 6.6.x 버전   (6.6.x 의 고정 버전)

           모든 6.7.x 버전

           모든 6.8.x 버전

           모든 6.9.x 버전

           모든 6.10.x 버전

           모든 6.11.x 버전

           모든 6.12.x 버전

           6.13.7 이전의 모든 6.13.x 버전  (6.13.x 의 고정 버전)

           모든 6.14.x 버전

           6.15.8 이전의 모든 6.15.x 버전  (6.15.x 의 고정 버전)

Fixed 버전

6.6.16

6.13.7

6.15.8


모우소프트 고객전용 기술지원 서비스 : https://support.mousoft.co.kr

시스템 접근이 불가한 경우 : support@mousoft.co.kr 로 문의 주시기 바랍니다.

Confluence Server 및 Data Center 보안 취약점 원문 보기: Confluence Server Advisory


감사합니다.

목록