Atlassian应对CVE-2022-22963,CVE-2022-22965的常见问题
CVE-2022-22965 常见问题解答
基本信息
已发现 Spring Framework 中的关键远程代码执行漏洞 CVE-2022-22965。根据 Spring 的安全公告,此漏洞会影响在 JDK 9 及更高版本上运行的 Spring MVC 和 Spring WebFlux 应用程序。
此页面包含有关“CVE-2022-22965:通过 JDK 9+ 上的数据绑定的 Spring Framework RCE”的常见问题和解答。Atlassian会及时更新,欢迎关注。
云实例是否受到影响?
不,Atlassian的云实例没有受到任何已知漏洞的影响,客户不需要采取任何行动。我们的分析没有发现Atlassian系统或客户数据受到任何影响。出于谨慎考虑,使用受影响的Spring版本的服务将作为优先事项进行修补,以防发现新的攻击载体。
本地服务器版/数据中心版产品是否受到影响?
正在进行的调查已确定,当满足一组狭隘的前提条件时,以下本地部署的产品易受攻击:
Bamboo服务器版和数据中心版
Confluence服务器版和数据中心版
Jira Software服务器版和数据中心版
Jira Service Management服务器版和数据中心版
要成功被攻击,须满足以下所有前提条件:
产品在JDK9或更高版本上运行
攻击者欺骗用户,发出恶意的HTTP请求
该请求包含一个有效的跨站请求伪造令牌(请注意,同源策略会阻止攻击者获得用户的有效令牌)。
目标用户以 "系统管理员 "的权限登录到应用程序。
仅限Jira和Confluence:目标用户还拥有一个活跃的 "安全管理员会话"(注意,这些会话默认只持续10分钟)。
产品将根据我们的数据中心和服务器错误修复政策进行更新。
以下本地服务器版产品使用受影响的Spring版本,但不易受到任何已知漏洞的攻击:
Bitbucket 服务器版和数据中心版
Crowd
Crucible
Fisheye
出于谨慎考虑,这些产品将根据我们的数据中心和服务器错误修复政策进行更新。
以下本地服务器版产品不使用 Spring,也不需要打补丁:
基于Mac的Sourcetree
基于Windows的Sourcetree
在补丁可用之前,是否有任何临时解决方案可以缓解此漏洞?
使用受影响的本地部署产品的客户可以从运行 JDK 9 或更高版本降级到 JDK 8 或更低版本。这将消除被攻击的可能性。这些指令可用于更改 Jira 和 Confluence 的 Java 版本:
Jira:https://confluence.atlassian.com/jirakb/change-the-java-version-used-by-jira-server-765594330.html
Marketplace 应用程序是否受到影响?
云应用程序
由 Atlassian 开发的适用于我们云产品的Marketplace应用程序目前不易受到任何已知的 CVE-2022-22965 漏洞的攻击。出于谨慎考虑,Atlassian 使用受影响的 Spring 版本开发的 Marketplace 云应用程序将作为优先事项进行修补,以防发现新的攻击媒介。
由第三方合作伙伴为我们的云产品开发的Marketplace应用程序正在积极调查中。任何被发现可被 CVE-2022-22965 利用的第三方应用程序都将在Marketplace中暂停,直到它被修补,并且受影响的客户将收到通知。
数据中心和服务器应用程序
Atlassian 正在积极调查Marketplace中的所有服务器和数据中心应用程序,以确定是否正在使用受影响的 Spring 版本。如果检测到使用受影响的 Spring 版本的应用程序, Marketplace合作伙伴将收到一张漏洞函,要求在加急的时间内提供补丁。任何被发现可被 CVE-2022-22965 利用的 Marketplace 应用程序都将从 Marketplace 隐藏,并通知受影响的客户。
请注意,Atlassian Marketplace 中未列出的应用程序未经过 Atlassian 审核。客户应直接联系这些开发人员,以获取有关其应用程序中此 CVE 的信息。
应用开发者在哪里可以找到更多信息?
注意:CVE-2022-22965 Spring Framework RCE 调查
Atlassian产品是否容易受到CVE-2022-22963的攻击?
CVE-2022-22963 是 Spring Cloud Function 包中的一个漏洞,与随后发布的 CVE-2022-22965 无关。Atlassian 云实例和本地产品不易受到 CVE-2022-22963 的任何已知漏洞的攻击。
Atlassian应对CVE-2022-22963,CVE-2022-22965的常见问题的更多相关文章
- CVE: 2014-6271、CVE: 2014-7169 Bash Specially-crafted Environment Variables Code Injection Vulnerability Analysis
目录 . 漏洞的起因 . 漏洞原理分析 . 漏洞的影响范围 . 漏洞的利用场景 . 漏洞的POC.测试方法 . 漏洞的修复Patch情况 . 如何避免此类漏洞继续出现 1. 漏洞的起因 为了理解这个漏 ...
- CVE: 2014-6271、CVE: 2014-7169 PATCH方案分析
目录 . RedHat官方给的PATCH第一套方案 . RedHat官方给的PATCH临时方案 . RedHat官方给的PATCH第二套方案 1. RedHat官方给的PATCH第一套方案 0x1: ...
- Nmap-脚本检测CVE漏洞
Nmap的一个鲜为人知的部分是NSE,即Nmap Scripting Engine,这是Nmap最强大和最灵活的功能之一.它允许用户编写(和共享)简单脚本,以自动执行各种网络任务.Nmap内置了全面的 ...
- [翻译]正式宣布 Visual Studio 2022
原文: [Visual Studio 2022] 首先,我们要感谢正在阅读这篇文章的你,我们所有的产品开发都始于你也止于你,无论你是在开发者社区上发帖,还是填写了调查问卷,还是向我们发送了反馈意见,或 ...
- 中国首个进入谷歌编程之夏(GSoC)的开源项目: Casbin, 2022 年预选生招募!
Casbin 明日之星预选生计划-Talent for Casbin 2022 "Casbin 明日之星预选生计划-Talent for Casbin 2022"是什么? &quo ...
- CVE 公开披露的网络安全漏洞列表
CVE®是一份公开披露的网络安全漏洞列表, 官方地址为 : https://cve.mitre.org/cve/ 比如 mavenrepository 上阿里的Druid修复的漏洞的列表如下:
- 基于Armitage的MSF自动化集成攻击实践
基于Armitage的MSF自动化集成攻击实践 目录 0x01 实践环境 0x02 预备知识 0x03 Armitage基础配置 0x04 Nmap:Armitage下信息搜集与漏洞扫描 0x05 A ...
- 2017-2018-2 20155314《网络对抗技术》Exp5 MSF基础应用
2017-2018-2 20155314<网络对抗技术>Exp5 MSF基础应用 目录 实验内容 实验环境 基础问题回答 预备知识 实验步骤--基于Armitage的MSF自动化漏洞攻击实 ...
- Code Page 编码
Identifier .NET Name Additional information 037 IBM037 IBM EBCDIC US-Canada 437 IBM437 OEM United St ...
随机推荐
- Pipeline 有什么好处,为什么要用 pipeline?
答:可以将多次 IO 往返的时间缩减为一次,前提是 pipeline 执行的指令之间没有 因果相关性.使用 redis-benchmark 进行压测的时候可以发现影响 redis 的 QPS 峰值的一 ...
- DateUtils互转工具类
public class DateUtils { /** * 取系统默认时区ID */ private static final ZoneId ZONE_ID; static { ZONE_ID = ...
- IOC的优点是什么?
IOC 或 依赖注入把应用的代码量降到最低.它使应用容易测试,单元测试不再需要单例和JNDI查找机制.最小的代价和最小的侵入性使松散耦合得以实现.IOC容器支持加载服务时的饿汉式初始化和懒加载.
- Java 中的 final 关键字有哪些用法?
修饰类:表示该类不能被继承: 修饰方法:表示方法不能被重写: 修饰变量:表示变量只能一次赋值以后值不能被修改(常量).
- 使用 Redis 有哪些好处?
1.速度快,因为数据存在内存中,类似于 HashMap,HashMap 的优势就是查 找和操作的时间复杂度都是 O1) 2.支持丰富数据类型,支持 string,list,set,Zset,hash ...
- Thymeleaf使用遇见的问题,如字符串不相等
所属情况:内联JavaScript语言 当使用Thymeleaf取请求参数的值时,会出现数组符号包围值的问题,可通过[0]进行取出里面的字符串,取值之前需先判断值是否存在,不然会抛出索引0不存在问题 ...
- 世界各国 MCC 和 MNC 列表
http://www.cnblogs.com/inteliot/archive/2012/08/22/2651666.html常见MCC:代码(MCC) ISO 3166-1 国家202 ...
- CentOS的安装以及IP地址(动态/静态)的配置
啊!复试压力好大,跟好多学长聊完以后觉得自己更该好好努力了,一边好好准备复试科目,一边把之前忘掉的捡起来吧,加油! 1.安装的具体过程请参照这位博主写的,我觉得写的很详细,https://blog.c ...
- Shiro 安全框架详解一(概念+登录案例实现)
shiro 安全框架详细教程 总结内容 一.RBAC 的概念 二.两种常用的权限管理框架 1. Apache Shiro 2. Spring Security 3. Shiro 和 Spring Se ...
- js 生成 pdf 文件
话不多说好吧, 直接上demo图: 直接上代码好吧:(要引入的两个js 链接我放最后) <!DOCTYPE html> <html> <head> <met ...