Atlassian应对CVE-2022-22963,CVE-2022-22965的常见问题
来源:Atlassian 作者:龙智 发布时间:2022-03-18 11:50
CVE-2022-22965 常见问题解答
基本信息
已发现 Spring Framework 中的关键远程代码执行漏洞 CVE-2022-22965。根据 Spring 的安全公告,此漏洞会影响在 JDK 9 及更高版本上运行的 Spring MVC 和 Spring WebFlux 应用程序。
此页面包含有关“CVE-2022-22965:通过 JDK 9+ 上的数据绑定的 Spring Framework RCE”的常见问题和解答。Atlassian会及时更新,欢迎关注。
云实例是否受到影响?
不,Atlassian的云实例没有受到任何已知漏洞的影响,客户不需要采取任何行动。我们的分析没有发现Atlassian系统或客户数据受到任何影响。出于谨慎考虑,使用受影响的Spring版本的服务将作为优先事项进行修补,以防发现新的攻击载体。
本地服务器版/数据中心版产品是否受到影响?
正在进行的调查已确定,当满足一组狭隘的前提条件时,以下本地部署的产品易受攻击:
Bamboo服务器版和数据中心版
Confluence服务器版和数据中心版
Jira Software服务器版和数据中心版
Jira Service Management服务器版和数据中心版
要成功受到攻击,须满足以下所有前提条件:
产品在JDK9或更高版本上运行
攻击者欺骗用户,发出恶意的HTTP请求
该请求包含一个有效的跨站请求伪造令牌(请注意,同源策略会阻止攻击者获得用户的有效令牌)。
目标用户以 “系统管理员 “的权限登录到应用程序。
仅限Jira和Confluence:目标用户还拥有一个活跃的 “安全管理员会话“(注意,这些会话默认只持续10分钟)。
产品将根据我们的数据中心和服务器错误修复政策进行更新。
以下本地服务器版产品使用受影响的Spring版本,但不易受到任何已知漏洞的攻击:
Bitbucket 服务器版和数据中心版
Crowd
Crucible
Fisheye
出于谨慎考虑,这些产品将根据我们的数据中心和服务器错误修复政策进行更新。
以下本地服务器版产品不使用 Spring,也不需要打补丁:
基于Mac的Sourcetree
基于Windows的Sourcetree
Marketplace应用程序是否容易受到CVE-2022-22965的影响?
云应用程序
由 Atlassian 开发的适用于我们云产品的Marketplace应用程序目前不易受到任何已知的 CVE-2022-22965 漏洞的攻击。出于谨慎考虑,Atlassian 使用受影响的 Spring 版本开发的 Marketplace 云应用程序将作为优先事项进行修补,以防发现新的攻击媒介。
由第三方合作伙伴为我们的云产品开发的市场应用程序正在积极调查中。任何被发现可被 CVE-2022-22965 利用的第三方应用程序都将在Marketplace中暂停,直到它被修补,并且受影响的客户将收到通知。
数据中心和服务器应用程序
Atlassian 正在积极调查市场 Marketplace中的所有服务器和数据中心应用程序,以确定是否正在使用受影响的 Spring 版本。如果检测到使用受影响的 Spring 版本的应用程序, Marketplace合作伙伴将收到一张漏洞函,要求在加急的时间内提供补丁。任何被发现可被 CVE-2022-22965 利用的 Marketplace 应用程序都将从 Marketplace 隐藏,并通知受影响的客户。
请注意,Atlassian Marketplace 中未列出的应用程序未经过 Atlassian 审核。客户应直接联系这些开发人员,以获取有关其应用程序中此 CVE 的信息。
应用开发者在哪里可以找到更多信息?
注意:CVE-2022-22965 Spring Framework RCE 调查
Atlassian产品是否容易受到CVE-2022-22963的攻击?
CVE-2022-22963 是 Spring Cloud Function 包中的一个漏洞,与随后发布的 CVE-2022-22965 无关。Atlassian 云实例和本地产品不易受到 CVE-2022-22963 的任何已知漏洞的攻击。
文章来源:https://confluence.atlassian.com/kb/faq-for-cve-2022-22963-cve-2022-22965-1115149136.html
