Kritická bezpečnostní chyba v Confluence

20.04.2017 | Co musíte udělat

Oznamujeme kriticky závažnou chybu zabezpečení, která byla zavedena do Confluence ve verzi 6.0.0. Verze Confluence začínající od 6.0.0 a všechny další verze před 6.0.7 (verze 6.0.7 je opravená verze pro řadu 6.0.x) jsou touto chybou zabezpečení ohroženy.

Neověření uživatelé mohou zobrazit obsah blogů a stránek v Confluence (CVE-2017-7415)

Závážnost

Hodnotíme stupeň závažnosti této chyby zabezpečení jako vysoký, podle Atlassian severity levels. Stupnice umožňuje hodnotit závažnost jako kritickou, vysokou, střední nebo nízkou.

Jedná se o nezávislé posouzení. Měli byste zhodnotit jeho použitelnost vzhledem ke svému IT prostředí.

Popis

Prostředky pro odkládání konceptů v Confluence umožnili, že je aktuální obsah všech blogů a stránek v Confluence dostupný bez ověření, a to zadáním id stránky nebo zadáním id konceptu.

Verze Confluence počínaje 6.0.0 a všechny další verze před 6.0.7 (pevná verze pro 6.0.x), jsou touto chybou zabezpečení ovlivněny. Tento problém můžete sledovat zde:  CONFSERVER-52222 - Unauthenticated users can view the content of Confluence blogs and pages (CVE-2017-7415)

Instance Atlassian Cloud již byly aktualizovány na verzi Confluence, která nemá problém popsaný na této stránce.

Zákazníci, kteří provedli upgrade Confluence na verzi 6.0.7, 6.1.0, nebo na verzi 6.1.1, nejsou ovlivněni. 

Zákazníci, kteří jste si stáhli a nainstalovali verzi Confluence >= 6.0.0 a menší jako 6.0.7 (verze 6.0.7 je opravená verze pro řadu 6.0.x), aktualizujte si prosím svoje instalace Confluence, abyste si okamžitě opravili tuto chybu zabezpečení.

Oprava

Opravené verze, které řeší popsanou chybu jsou tyto:

1. Confluence verze 6.0.7

2. Confluence verze 6.1.0

3. Confluence verze 6.1.1

Co musíte udělat

Aktualizujte Confluence na verzi 6.0.7 nebo vyšší.

Úplný popis poslední verze Confluence najdete v poznámkách k vydání Confluence. Můžete si ji stáhnout od download centra.

Pro více informací čtěte zde.

Tým Atlassian v Onlio

Pro lokální podporu neváhejte kontaktovat odborníky na produkty Atlassian ve společnosti Onlio.

Pro další informace o novinkách Atlassian a JIRA sledujte web www.myJIRA.cz.

Diskutujeme také na LinkedIn ve skupině Atlassian komunita CZ & SK.

V případě dotazů se obraťte na atlassian_zavináč_onlio.com nebo na tel. +420222744766

Zpět