Atlassian a averti les utilisateurs de son outil de collaboration Confluence qu’ils doivent soit restreindre l’accès Internet au logiciel, soit le désactiver, à la lumière d’une faille critique d’exécution de code à distance non authentifiée dans le produit qui est activement attaqué.
Un consultatif daté du 2 juin 1300 PT (2000 UTC), ne décrit pas la nature de la faille et révèle qu’une “exploitation active actuelle” a été détectée. Aucun correctif n’est disponible.
La faille est présente dans la version 7.18 de Confluence Server, qui est attaquée, ainsi que potentiellement dans les versions 7.4 et supérieures de Confluence Server et Confluence Data Center. La version 7.4 est une édition de support à long terme.
<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/patches&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2YplXiKM2daWRbPoBdX6ChAAAAFI&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/patches&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=2&c=2YplXiKM2daWRbPoBdX6ChAAAAFI&t=ct%3Dns%26unitnum%3D2%26raptor%3Dcondor%26pos%3Dtop%26test%3D0" alt="" /><br /> </a><br />“Il n’y a actuellement aucune version fixe de Confluence Server et Data Center disponible”, indique l’avis. “Atlassian travaille avec la plus haute priorité pour publier un correctif.”
<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/patches&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44YplXiKM2daWRbPoBdX6ChAAAAFI&t=ct%3Dns%26unitnum%3D4%26raptor%3Dfalcon%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/patches&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44YplXiKM2daWRbPoBdX6ChAAAAFI&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br /> <br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/patches&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33YplXiKM2daWRbPoBdX6ChAAAAFI&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/patches&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=3&c=33YplXiKM2daWRbPoBdX6ChAAAAFI&t=ct%3Dns%26unitnum%3D3%26raptor%3Deagle%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />Atlassian suggère que pendant que les clients attendent que le correctif arrive, ils “devraient travailler avec leur équipe de sécurité pour envisager le meilleur plan d’action”. Les “options à considérer” de la maison de logiciels australienne sont :
- Restreindre les instances Confluence Server et Data Center à partir d’Internet.
- Désactivation des instances Confluence Server et Data Center.
La première option est probablement plus facile à mettre en œuvre pour la plupart des utilisateurs, mais pourrait entraîner des perturbations importantes pour les travailleurs à distance, à moins qu’une sorte de solution VPN ne soit en place. Le second entraînera certainement des perturbations internes importantes.
Aucun délai n’a été proposé pour la livraison d’un correctif et Atlassian n’a donné aucune indication sur la complexité du travail nécessaire pour résoudre le problème.
Bien que toute faille classée critique attaquée soit une très mauvaise nouvelle, de nombreux utilisateurs d’Atlassian ont peut-être esquivé la balle car la version 7.18 de Confluence Server était annoncé le 30 mai et il est donc peu probable qu’il soit déployé à grande échelle. En effet, peu ont peut-être prévu d’adopter le nouveau code, car la version 7.19 est désignée comme une version de support à long terme.
Les utilisateurs de Confluence 7.4 ont plus à se soucier, car cette version a été publié en avril 2020, et il est “potentiellement vulnérable”, selon Atlassian.
<br /> <a target="_blank" href="https://pubads.g.doubleclick.net/gampad/jump?co=1&iu=/6978/reg_security/patches&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44YplXiKM2daWRbPoBdX6ChAAAAFI&t=ct%3Dns%26unitnum%3D4%26raptor%3Dfalcon%26pos%3Dmid%26test%3D0" rel="noopener"><br /> <img src="https://pubads.g.doubleclick.net/gampad/ad?co=1&iu=/6978/reg_security/patches&sz=300x50%7C300x100%7C300x250%7C300x251%7C300x252%7C300x600%7C300x601&tile=4&c=44YplXiKM2daWRbPoBdX6ChAAAAFI&t=ct%3Dns%26unitnum%3D426raptor%3Dfalcon%26pos%3Dmid%26test%3D0" alt="" /><br /> </a><br />La nouvelle de la faille, suivie sous le nom de CVE-2022-26134, survient après que les services cloud d’Atlassian ont connu une panne de deux semaines en avril 2022. ®
— to www.theregister.com
Jeu de briques
Snake
Pacman
Bubble