Contactamos con ustedes para informarles de una vulnerabilidad de seguridad tipificada por Atlassian como crítica, detectada en el producto Confluence y comunicada por Atlassian hace unas horas.

¿Qué productos se ven afectados?

• Atlassian Confluence Server
• Atlassian Confluence Data Center

Pueden encontrar la comunicación oficial de Atlassian en el siguiente enlace (en inglés): Nota de vulnerabilidad 28 Agosto 2019.

También pueden seguir el avance de la incidencia en el siguiente enlace (en inglés):  Incidencia vulnerabilidad 10 Julio 2019

Un usuario con permisos para crear páginas en Confluence podría leer archivos en un directorio determinado donde usted podría tener información sensible como credenciales de conexión con LDAP.

Esta vulnerabilidad sólo puede ser explotada si existe información sensible en este directorio particular (/confluence/WEB-INF) o alguna de sus subcarpetas.

No obstante, ITERA le recomienda mitigar esta vulnerabilidad en cualquier caso.

Todas las versiones del producto desde la 6.1.x hasta la 6.15.x, ambas inclusive.

Algunas versiones específicas contienen un fix que bloquea esta vulnerabilidad. Si usted tiene alguna de las siguientes versiones, su instalación NO se verá afectada:

• Cualquier versión mayor o igual a la 6.1.0  y menor a la 6.6.16
• Cualquier versión mayor o igual a la 6.7.0  y menor a la 6.13.7
• Cualquier versión mayor o igual a la 6.14.0  y menor a la 6.15.8

En caso de estar afectado por esta vulnerabilidad, Atlassian expone tres vías para mitigarla:

1.- La respuesta recomendada por Atlassian para mitigar de forma permanente esta vulnerabilidad es actualizar el producto Confluence a la versión más reciente, esto es la 6.15.8 o superior.

2.- Una segunda alternativa de actualización es aplicar el fix específico que corrige la vulnerabilidad para cada versión de la aplicación. 

Esta opción está disponible sólo si usted tiene alguna de las siguientes versiones.

– Para versiones 6.6.x usted debe aplicar el parche 6.6.16.

– Para versiones 6.13.x usted debe aplicar el parche 6.13.17.

– Si usted dispone de una versión anterior a la 6.6.x o 6.13.x, deberá primero actualizar su versión de Confluence a alguna de ellas y posteriormente aplicar el fix.

3.- Como tercera alternativa, Altassian propone un workaround en caso de que no sea posible la actualización del producto que usted puede encontrar en este enlace.