이 문서는 CVE-2022-26134 취약점에 대한 조치 방법을 공유하기 위해 작성되었다.
취약점 요약표
요약 | CVE-2022-26134 - Confluence Server 및 Data Center의 원격 코드 실행 취약점 (심각도- 미인증) |
---|---|
권고 릴리스 날짜 | |
영향을 받는 제품 |
|
영향을 받는 버전 |
|
수정된 버전 |
|
CVE ID | CVE-2022-26134 |
설명
Confluence Data Center 및 Server의 인증되지 않은 원격 코드 실행 취약점이 악용되는 것을 발견했습니다.
OGNL 인젝션 취약점은 인증되지 않은 사용자가 Confluence Server 또는 Data Center 인스턴스에서 임의의 코드를 실행할 수 있도록 합니다.
영향 받는 제품
Confluence Server
Confluence Data Center
영향을 받는 버전
Confluence Server 및 Data Center 모든 지원되는 버전
Confluence Server 및 Data Center 1.3.0 이후의 버전
Atlassian Cloud의 경우
Confluence 사이트가 atlassian.net 도메인을 통해 액세스되는 경우 Atlassian에서 호스팅되며 취약하지 않습니다.
Atlassian Cloud의 악용에 대한 어떠한 증거도 발견하지 못했습니다.
수정 버전
- 7.4.17
- 7.13.7
- 7.14.3
- 7.15.2
- 7.16.4
- 7.17.4
- 7.18.1
해결 방법
- 최신 LTS(장기지원 릴리스)로 업데이트할 것을 권장합니다.
* 클러스터에서 Confluence를 실행하는 경우 다운타임 없이 수정된 버전으로 업그레이드할 수 없습니다.
이 경우 Confluence Data Center 업그레이드를 참고하세요.
임시 해결 방법
Confluence를 즉시 업그레이드할 수 없는 경우 임시 해결 방법으로 제품의 특정 버전에 대해 다음 파일을 업데이트하여 CVE-2022-26134 문제를 완화할 수 있습니다.
Confluence 7.15.0 - 7.18.0
클러스터에서 Confluence를 실행하는 경우 각 노드에서 이 프로세스를 반복해야 합니다.
이를 적용하기 위해 전체 클러스터를 종료할 필요는 없습니다.
Confluence를 종료합니다.
다음 1개 파일을 Confluence 서버에 다운로드합니다.
삭제 (또는 다음 JAR 를 Confluence 설치 디렉토리 외부로 이동) :
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar
이전 JAR의 사본을 디렉토리에 남겨두지 마세요.
다운로드한 xwork-1.0.3-atlassian-10.jar 를 다음 위치에 복사합니다.
<confluence-install>/confluence/WEB-INF/lib/
새로운 xwork-1.0.3-atlassian-10.jar 파일에 대한 권한 및 소유권이 동일한 디렉토리의 기존 파일과 일치하는지 확인하세요.
Confluence를 시작합니다.
클러스터에서 Confluence를 운용하는 경우, 모든 노드에서 위의 업데이트를 적용해야 합니다.
Confluence 6.0.0 - Confluence 7.14.2
클러스터에서 Confluence를 실행하는 경우 각 노드에서 이 프로세스를 반복해야 합니다.
이 완화를 적용하기 위해 전체 클러스터를 종료할 필요는 없습니다.
Confluence를 종료합니다.
Confluence 서버에 다음 3개의 파일을 다운로드합니다.
삭제 (또는 다음 JAR를 Confluence 설치 디렉토리 외부로 이동 ):
<confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
<confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar
이전 JAR의 사본을 디렉토리에 남겨두지 마세요.
- 다운로드한 xwork-1.0.3-atlassian-10.jar 를 다음 위치에 복사합니다.
<confluence-install>/confluence/WEB-INF/lib/
다운로드한 webwork-2.1.5-atlassian-4.jar 를 다음 위치에 복사합니다.
<confluence-install>/confluence/WEB-INF/lib/
두 개의 새 파일에 대한 권한 및 소유권이 동일한 디렉토리의 기존 파일과 일치하는지 확인하세요.
디렉토리 변경
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
webwork
라는 새 디렉토리를 만듭니다.CachedConfigurationProvider.class 를 다음으로 복사 합니다.
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
다음에 대한 권한과 소유권이 올바른지 확인하세요.
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
<confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class
Confluence를 시작합니다.
클러스터에서 Confluence를 운용하는 경우, 모든 노드에서 위의 업데이트를 적용해야 합니다.
참고 : Confluence End Of Life 버전은 이런한 해결 방법으로 완전히 테스트되지 않았습니다.
Confluence의 수정된 버전에는 몇 가지 다른 보안 수정 사항이 포함되어 있으므로 수정된 버전의 Confluence로 업그레이드 하는 것을 강력히 권장합니다.