Arrêtez ce que vous faites et corrigez cette faille critique de Confluence, prévient Atlassian • The Register

Atlassian a déclaré à ses clients qu’ils « devaient prendre des mesures immédiates » pour corriger une faille récemment découverte dans son outil de collaboration Confluence.

Un consultatif publié le 31 octobre met en garde contre CVE-2023-22518, décrit comme une « vulnérabilité d’autorisation inappropriée dans Confluence Data Center and Server », les versions sur site des produits Atlassian.

Toutes les versions de Confluence sont sensibles au bug, qu’Atlassian évalue à 9,1/10 sur le système de notation des vulnérabilités communes en dix points.

L’éditeur australien n’a pas détaillé la nature de la faille ni comment elle peut faciliter la perte de données. La société a déclaré n’avoir constaté aucun exploit. Peut-être qu’expliquer la faille permettrait d’alerter les attaquants.

Le correctif est simple : passez immédiatement à la version de Confluence qui a corrigé la mystérieuse faille. Les versions Confluence 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1 ou toute version ultérieure à ces versions feront l’affaire.

Avant de procéder à la mise à niveau, Atlassian suggère de déconnecter les instances Confluence de l’Internet public. Si cela n’est pas faisable, le fournisseur conseille de restreindre l’accès au réseau externe jusqu’à ce que les correctifs soient appliqués.

Les utilisateurs de SaaS-y Confluence dans le cloud d’Atlassian n’ont rien à craindre.

Cette faille est le deuxième bug urgent de Confluence à apparaître en octobre. CVE-2023-22515, annoncé le 4 octobre, permettait aux malfaiteurs de créer et d’abuser de comptes administrateur Confluence.

Les attaquants ont sauté sur l’occasion d’exploiter la faille, ce qui a amené les autorités américaines à demander une correction rapide.

La société a également signalé une faille critique dans son produit BitBucket en août 2022.

Un autre facteur à considérer est que le support de la version Serveur de Confluence prendra fin le 14 février 2024.

Quand Le registre Compte tenu de cette date limite, Atlassian a expliqué qu’elle se considère comme une entreprise axée sur le cloud et qu’elle donne la priorité à la version SaaS de ses produits. Les lecteurs ont répondu en s’inquiétant du coût de la migration vers l’un ou l’autre des centres de données d’Atlassian et craignent qu’il reçoive moins d’attention que le cloud d’Atlassian.

Deux failles critiques en un mois suggèrent certainement que Confluence auto-hébergé est une option nécessitant une maintenance élevée et que A-Cloud est une proposition plus confortable. Atlassian est d’accord avec cette position, mais a également maintenu ses produits Data Center en vie, car tous les clients ne sont pas à l’aise dans le cloud.

Et aujourd’hui, ils ne sont pas non plus à l’aise dehors. ®