Alerte sécurité Confluence


Publié par
Cyrille MARTIN

19 janvier 2011

Atlassian a fait une alerte sur des problèmes de sécurité sur plusieurs bricks fonctionnelles de Confluence. Ces problèmes ne sont pas apparus ces derniers jours, Atlassian a simplement fait un rappel des différentes failles découvertes et corrigées sur Confluence.

Si vous souhaitez avoir un aperçu sur la simplicité de récupérer les données du compte admin regardez cette vidéo faite par la responsable sécurité d’Atlassian lors de l’AtlasCamp 2010 à San Francisco au quel nous avons participé.

Les risques d’utilisation de ces failles sont assez faibles si votre instance Confluence n’autorise pas le ‘Public Sign In’.
Si votre instance délègue la gestion des comptes utilisateurs à un LDAP ou si seulement l’administrateur de Confluence peut créer des comptes alors le danger ne pourra venir que d’une personne interne.

Il n’y a pas d’obligation de mettre à jour votre instance Confluence à la dernière version (3.4.6) qui corrige toutes les failles listées. La grande majorité de ces failles identifiées peuvent être corrigée en faisant simplement une mise à jour des plugins installés via l’interface d’administration de Confluence. Il se peut même que vous ayez des versions de plugins supérieures à celles qui corrigent les failles.

Vous trouverez sur la page indiquée en début de billet toutes les recommandations et les liens pour le téléchargement des plugins.

En synthèse voici la liste des versions de plugins qui colmatent les failles:

  • socialbookmarking-1.3.4.jar
  • confluence-dashboard-macros-1.13.1.jar ou confluence-dashboard-macros-3.4.4.jar (pour Confluence 3.4.X)
  • confluence-advanced-macros-1.9.2.jar ( <= Confluence 3.3.X) ou confluence-advanced-macros-1.12.3.jar ( pour Confluence 3.4.X)
  • pagetree-1.20.jar

Il reste malgré tout deux fichiers à mettre à jour qui demanderont un arrêt relance de votre serveur d’application. Ces fichiers sont à mettre à jour seulement pour les versions antérieures à Confluence 3.4.1. (ils ont été corrigés sur les versions supérieures)

Mettre à jour dans votre Webapps:

CONFLUENCE_INSTALL_DIR/confluence/WEB-INF/lib/
– atlassian-renderer-6.0.6.jar ( <= Confluence 3.3.X) ou atlassian-renderer-6.2.jar ( pour Confluence 3.4.0)

CONFLUENCE_INSTALL_DIR/confluence/pages/includes/
– attachments-table.vm.zip ( <= Confluence 3.3.X) ou attachments-table-3.4vm.zip ( pour Confluence 3.4.0) N’oubliez pas de dézipper ce fichier !