CURVC DevOps

페이지 트리

이 문서는 CVE-2022-26134 취약점에 대한 조치 방법을 공유하기 위해 작성되었다.



취약점 요약표

요약

CVE-2022-26134 - Confluence Server 및 Data Center의 원격 코드 실행 취약점 (심각도- 미인증)

권고 릴리스 날짜

영향을 받는 제품

  • Confluence

    • Confluence Server

    • Confluence Data Center

영향을 받는 버전

  • Confluence Server 및 Data Center 모든 지원되는 버전

  • Confluence Server 및 Data Center 1.3.0 이후의 버전

수정된 버전

  • 7.4.17

  • 7.13.7

  • 7.14.3

  • 7.15.2

  • 7.16.4

  • 7.17.4

  • 7.18.1

CVE ID

CVE-2022-26134


설명

Confluence Data Center 및 Server의 인증되지 않은 원격 코드 실행 취약점이 악용되는 것을 발견했습니다. 
OGNL 인젝션 취약점은 인증되지 않은 사용자가 Confluence Server 또는 Data Center 인스턴스에서 임의의 코드를 실행할 수 있도록 합니다.

영향 받는 제품

  • Confluence Server

  • Confluence Data Center

영향을 받는 버전

  • Confluence Server 및 Data Center 모든 지원되는 버전

  • Confluence Server 및 Data Center 1.3.0 이후의 버전

Atlassian Cloud의 경우

Confluence 사이트가 atlassian.net 도메인을 통해 액세스되는 경우 Atlassian에서 호스팅되며 취약하지 않습니다. 
Atlassian Cloud의 악용에 대한 어떠한 증거도 발견하지 못했습니다.

수정 버전

  • 7.4.17
  • 7.13.7
  • 7.14.3
  • 7.15.2
  • 7.16.4
  • 7.17.4
  • 7.18.1


해결 방법

* 클러스터에서 Confluence를 실행하는 경우 다운타임 없이 수정된 버전으로 업그레이드할 수 없습니다.
  이 경우 Confluence Data Center 업그레이드를 참고하세요.


임시 해결 방법

Confluence를 즉시 업그레이드할 수 없는 경우 임시 해결 방법으로 제품의 특정 버전에 대해 다음 파일을 업데이트하여 CVE-2022-26134 문제를 완화할 수 있습니다.

Confluence 7.15.0 - 7.18.0

클러스터에서 Confluence를 실행하는 경우 각 노드에서 이 프로세스를 반복해야 합니다. 
이를 적용하기 위해 전체 클러스터를 종료할 필요는 없습니다. 

  1. Confluence를 종료합니다.
     

  2. 다음 1개 파일을 Confluence 서버에 다운로드합니다.

  3. 삭제 (또는 다음 JAR 를 Confluence 설치 디렉토리 외부로 이동) :

    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

    (경고) 이전 JAR의 사본을 디렉토리에 남겨두지 마세요.


  4. 다운로드한 xwork-1.0.3-atlassian-10.jar 를 다음 위치에 복사합니다.<confluence-install>/confluence/WEB-INF/lib/

  5. 새로운 xwork-1.0.3-atlassian-10.jar 파일에 대한 권한 및 소유권이 동일한 디렉토리의 기존 파일과 일치하는지 확인하세요.

  6. Confluence를 시작합니다.

클러스터에서 Confluence를 운용하는 경우, 모든 노드에서 위의 업데이트를 적용해야 합니다.


Confluence 6.0.0 - Confluence 7.14.2

클러스터에서 Confluence를 실행하는 경우 각 노드에서 이 프로세스를 반복해야 합니다. 
이 완화를 적용하기 위해 전체 클러스터를 종료할 필요는 없습니다. 

  1. Confluence를 종료합니다.
     

  2. Confluence 서버에 다음 3개의 파일을 다운로드합니다.

  3. 삭제 (또는 다음 JAR를 Confluence 설치 디렉토리 외부로 이동 ):
     

    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar

    <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

    (경고) 이전 JAR의 사본을 디렉토리에  남겨두지 마세요.
     

  4. 다운로드한 xwork-1.0.3-atlassian-10.jar 를 다음 위치에 복사합니다.
    <confluence-install>/confluence/WEB-INF/lib/
     

  5. 다운로드한 webwork-2.1.5-atlassian-4.jar 를 다음 위치에 복사합니다.
    <confluence-install>/confluence/WEB-INF/lib/
     

  6. 두 개의 새 파일에 대한 권한 및 소유권이 동일한 디렉토리의 기존 파일과 일치하는지 확인하세요.
     

  7. 디렉토리 변경
    <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
     

    1. webwork라는 새 디렉토리를 만듭니다.

    2. CachedConfigurationProvider.class 를 다음으로 복사 합니다.
      <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork

    3. 다음에 대한 권한과 소유권이 올바른지 확인하세요.

      <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
      <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork/CachedConfigurationProvider.class

  8. Confluence를 시작합니다.


클러스터에서 Confluence를 운용하는 경우, 모든 노드에서 위의 업데이트를 적용해야 합니다.


참고 : Confluence End Of Life 버전은 이런한 해결 방법으로 완전히 테스트되지 않았습니다.

Confluence의 수정된 버전에는 몇 가지 다른 보안 수정 사항이 포함되어 있으므로 수정된 버전의 Confluence로 업그레이드 하는 것을 강력히 권장합니다.



  • 레이블 없음

추가적인 정보를 확인하세요.