Современные реалии таковы, что не каждый бизнес может себе позволить сайт, особенно стартующий бизнес. Поэтому выгодно воспользоваться конструктором сайтов, например filandor. Запуск сайта через несколько минут.
02 июня 2022 г. компания Atlassian выпустила рекомендации по безопасности для своих приложений Confluence Server и Data Center, указав на серьезную уязвимость, связанную с удаленным выполнением кода без проверки подлинности. Уязвимость имеет номер CVE-2022-26134 и затрагивает Confluence Server версии 7.18.0 и все версии Confluence Data Center >= 7.4.0.
Патч еще не доступен, но клиенты Cloudflare, использующие WAF или Access, уже защищены.
Наши собственные узлы Confluence защищены как WAF, так и Access, и на момент написания мы не нашли доказательств того, что наш экземпляр Confluence был взломан.
Cloudflare рассмотрела рекомендации по безопасности, провела собственный анализ и подготовила правило смягчения последствий WAF в виде экстренного выпуска. Правило после тестирования было развернуто 2 июня 2022 г. в 23:38 UTC с действием по умолчанию BLOCK и следующими идентификаторами:
- 100531 (для нашего устаревшего WAF)
- 408cff2b (для нашего нового WAF)
Все клиенты, использующие Cloudflare WAF для защиты своих собственных приложений Confluence, были автоматически защищены с момента развертывания нового правила.
Клиенты, которые развернули Cloudflare Access перед своими приложениями Confluence, были защищены от попыток внешней эксплуатации еще до аварийного выпуска. Access проверяет каждый запрос к приложению Confluence, чтобы убедиться, что он исходит от аутентифицированного пользователя. Любые неаутентифицированные пользователи, пытающиеся использовать этот эксплойт, будут заблокированы Cloudflare до того, как они смогут получить доступ к серверу Confluence.
Клиенты, еще не использующие правила нулевого доверия для защиты доступа к своим приложениям, могут следовать этим инструкциям, чтобы включить Access сейчас через несколько минут.
Хронология событий
.tg {граница-коллапс: коллапс; граница-спейсинг: 0;} размер: 14 пикселей; переполнение: скрытое; заполнение: 10 пикселей 5 пикселей; разрыв слова: нормальный;} .tg th {цвет границы: черный; стиль границы: сплошной; ширина границы: 1 пиксель; семейство шрифтов: Arial, без засечек; шрифт- размер: 14 пикселей; вес шрифта: нормальный; переполнение: скрытый; заполнение: 10px 5px; разрыв слова: нормальный;} .tg .tg-c6of {цвет фона: #ffffff; цвет границы: наследовать; выравнивание текста: по левому краю; по вертикали- выровнять: сверху}
| 2022-06-02 в 20:00 UTC | Atlassian публикует рекомендации по безопасности |
|---|---|
| 2022-06-02 в 23:38 UTC | Cloudflare публикует правило WAF для CVE 2022-26134 |
Когда будет доступен патч?
Atlassian не подтвердила, когда будет доступно исправление, но, как отмечалось выше, клиенты Cloudflare, защищающие свои приложения Confluence с помощью Cloudflare WAF и Access, защищены. Мы обновим этот пост, как только появится новая информация, а также рекомендуем следовать советам по безопасности Atlassian.
