bitvoodoo Advisories
Space shortcuts
Space Tools
bitvoodoo Advisories BVADVIS

Versions Compared

Old Version 1

changes.mady.by.user Unknown User (niklas.becker@bitvoodoo.ch)

Saved on

compared with

New Version Current

changes.mady.by.user Unknown User (niklas.becker@bitvoodoo.ch)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


English

Contents


German

Inhalte


French

Contenu

Table of Contents


Page properties


Date

 

Product
  • Confluence Server
  • Confluence Data Center
VulnerabilityCritical
CVECVE-2022-26134
Official linkConfluence Security Advisory 2022-06-02




Confluence Security Advisory - Critical severity unauthenticated remote code execution vulnerability - CVE-2022-26134



English

Dear customer,

on the 2nd of June 2022 10 PM CEST, Atlassian issued a Security Advisory for Confluence Server & Confluence Data Center. The Cloud versions of the applications as well as other Atlassian products are not affected.

What you need to know

Atlassian has been made aware of current active exploitation of a critical severity unauthenticated remote code execution vulnerability in Confluence Data Center and Server. Further details about the vulnerability are being withheld until a fix is available. There is no proof of concept for this vulerability vulnerability so the attack vector is not boradly broadly available to the piblicpublic.

Atlassian is actively working on a patch for impacted versions and will update the advisory with estimates for completion.

Affected Versions

Info

All versions include Confluence Server & Data Center

Confluence

  • At the present all supported versions

  • It’s likely that all versions of Confluence Server and Data Center are affected, but Atlassian yet has to confirm the earliest affected version

Fixed Versions

Confluence

There are currently no fixed versions of

Confluence

Server and

Data Center

available. Atlassian is working with the highest priority to issue a fix.This advisory will be updated as additional details become available.

What should I do?

Localtab Group


Localtab
activetrue
titleConfluence Server & Data Center
tabIconbvicon-server

You use Confluence Server or Confluence Data Center 

Update

Currently there is no fixed version, as soon as Atlassian releases a new version, we will update this page.

Workaround

There are currently no fixed versions of Confluence Server and Confluence Data Center available. In the interim, customers should work with

their security

their security team to consider the best course of action. Options to consider include:

  • Restricting access to Confluence Server and Data Center instances from the internet.

  • Disabling Confluence Server and Data Center instances.

If you are unable to take the above actions

 

implementing a

 

WAF (Web Application Firewall)

rule which

rule which blocks

 

URLs containing

 

${

 

may reduce your risk.

This advisory will be updated as fixes become available..


Localtab
titleJira Confluence Cloud
tabIconbvicon-cloud

You use Jira Software, Jira Service Management or Jira Work Management Confluence Cloud

Tip

You are not affected by this Security Advisory.

No need for action.



Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

You use Confluence Server or Confluence Data Center 

Update

Currently there is no fixed version, as soon as Atlassian releases a new version, we will update this page and we will inform affected customers.

LTS Update Package Customers will get an update to the latest LTS relase release free of charge as soon as possible.

Workaround
If you don't ask us to keep Confluence up and running, we will shut it down 3rd June 2022 2 PM CEST
Tip

A workaround has been implemented to secure instances hosted on the bitvoodoo cloud. We will update the instances as soon as the fixed version is available.



Further Reading

Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.


German

Sehr geehrte Kunden,

Am 2. Juni 2022 10:00 PM UST hat Atlassian ein Security Advisory für Confluence Server & Data Center veröffentlicht. Die Cloud-Versionen der Anwendungen sowie andere Atlassian-Produkte sind nicht betroffen.

Was Sie wissen müssen

Atlassian wurde darauf aufmerksam gemacht, dass derzeit eine kritische Schwachstelle in Confluence Data Center und Server aktiv ausgenutzt wird, die eine nicht authentifizierte Remotecodeausführung ermöglicht. Weitere Details zu dieser Sicherheitslücke werden zurückgehalten, bis ein Fix verfügbar ist. Es gibt keinen Proof of Concept für diese Schwachstelle, so dass der Angriffsvektor für die Öffentlichkeit nicht allgemein zugänglich ist.

Atlassian arbeitet aktiv an einem Patch für die betroffenen Versionen und wird das Security Advisory mit einem Datum der voraussichtlichen Fertigstellung aktualisieren.

Betroffene Versionen

Info

Alle Versionen von Confluence Server & Data Center

Confluence

  • Zurzeit alle unterstützen Versionen
  • Es ist wahrscheinlich, dass alle Versionen von Confluence Server und Data Center betroffen sind, aber Atlassian muss die früheste betroffene Version noch bestätigen

Fix-Versionen

Confluence

Es sind derzeit keine gefixten Versionen von Confluence Server und Data Center verfügbar. Atlassian arbeitet mit höchster Priorität an der Veröffentlichung eines Fixes.

Dieser Hinweis wird aktualisiert, sobald weitere Einzelheiten bekannt werden.

Was soll ich tun?

Localtab Group


Localtab
activetrue
titleConfluence Server & Data Center
tabIconbvicon-server

Sie verwenden Confluence Server oder Confluence Data Center 

Update

Derzeit gibt es keine Fixversion, sobald Atlassian eine neue Version veröffentlicht, werden wir diese Seite aktualisieren.

Workaround

Derzeit sind keine gefixten Versionen von Confluence Server und Confluence Data Center verfügbar. In der Zwischenzeit sollten die Kunden mit ihrem Sicherheitsteam zusammenarbeiten, um die beste Vorgehensweise zu finden. Zu den in Betracht kommenden Optionen gehören:

  • Einschränkung des Zugriffs auf Confluence Server und Data Center Instanzen aus dem Internet.

  • Abschalten von Confluence Server- und Data Center-Instanzen.

Wenn Sie nicht in der Lage sind, die oben genannten Massnahmen zu ergreifen, kann die Implementierung einer WAF-Regel (Web Application Firewall), die URLs blockiert, die ${ enthalten, Ihr Risiko verringern.

Dieser Hinweis wird aktualisiert, sobald weitere Einzelheiten bekannt werden.


Localtab
titleConfluence Cloud
tabIconbvicon-cloud

Sie verwenden Confluence Cloud

Tip

Sie sind von diesem Security Advisory nicht betroffen.

Es besteht kein Handlungsbedarf.



Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Sie verwenden Confluence Server oder Confluence Data Center 

Update

Sobald Atlassian eine neue Version veröffentlicht, werden wir diese Seite aktualisieren und die betroffenen Kunden informieren.

LTS Update-Paket Kunden erhalten ein kostenloses Update auf die neueste LTS-Version.

Workaround


Tip

Es wurde ein Workaround implementiert, um Instanzen, die in der bitvoodoo Cloud gehostet werden, zu sichern. Wir werden die Instanzen aktualisieren, sobald die korrigierte Version verfügbar ist.



Weitere Informationen

Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch.


French

Cher client,

Jeudi 2 juin 2022 22:00 CEST, Atlassian a publié une annonce de faille de sécurité pour Confluence Server & Data Center. Les versions Cloud et autres produits Atlassian ne sont pas affectés.

Ce qui est à savoir

Atlassian a été informé de l'exploitation active d'une vulnérabilité critique d'exécution de code à distance non authentifiée dans Confluence Data Center et Server. Les détails de cette vulnérabilité ne sont pas divulgués jusqu'à ce qu'un correctif soit disponible. Il n'y a pas de test pour cette vulnérabilité, le vecteur d'attaque n'est donc pas encore disponible au public.

Atlassian travaille activement sur un patch de sécurité et mettra à jour l’annonce avec les estimations de remédiations.

Versions concernées

Info

Toutes les versions de Confluence Server & Data Center

Confluence

  • A ce jour, toute les versions

  • Il est probable que toutes les versions de Confluence Server et Data Center soient affectées, mais Atlassian doit encore confirmer la première version affectée.

Versions sécurisées

Confluence

Il n'y a actuellement aucune version corrigée de Confluence Server et Data Center disponible. Atlassian travaille avec la plus haute priorité pour publier un correctif.

Cet avis sera mis à jour dès que des détails supplémentaires seront disponibles.

Mesures à prendre

Localtab Group


Localtab
activetrue
titleConfluence Server & Data Center
tabIconbvicon-server
Mise à jour

Actuellement, il n'existe pas de version corrigée. Dès qu'Atlassian publiera une nouvelle version, nous mettrons cette page à jour.

Mesure de contournement (Workaround)

Il n'y a actuellement aucune version corrigée de Confluence Server et Data Center disponible. Dans l'intervalle, les clients doivent travailler avec leur équipe de sécurité pour envisager la meilleure marche à suivre. Les options à considérer incluent :

  • Restreindre l'accès aux instances de Confluence Server et de Data Center depuis Internet.

  • Désactiver les instances de Confluence Server et Data Center.

Si vous ne pouvez pas prendre les mesures ci-dessus, la mise en œuvre d'une règle WAF (Web Application Firewall) qui bloque les URL contenant ${ peut réduire votre risque.

Cet avis sera mis à jour dès que des correctifs seront disponibles.


Localtab
titleConfluence Cloud
tabIconbvicon-cloud

You use Confluence Cloud

Tip

You are not affected by this Security Advisory.

No need for action.



Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud
Mise à jour

Actuellement, il n’existe pas de version fixe, dès qu'Atlassian publiera une nouvelle version, nous mettrons à jour cette page et nous informerons les clients concernés.

Les clients qui ont opté pour le LTS Update Package recevront gratuitement une mise à jour de la dernière version LTS.

Workaround
Tip

Une mesure de contournement a été mise en place afin de sécuriser les instances hébergées sur le cloud de bitvoodoo. Nous mettrons à jour les instances dès que la version corrigée sera disponible.


Pour plus d’information

Support

Si vous avez des questions concernant cette faille de sécurité, veuillez contact le support de bitvoodoo par e-mail support.bitvoodoo.ch.



bitvoodoo Advisories BVADVIS