image

Overheid roept bedrijven op om Confluence-kwetsbaarheid te patchen

zondag 5 september 2021, 08:43 door Redactie, 23 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid roept bedrijven en organisaties op om een kwetsbaarheid in Atlassian Confluence te patchen, aangezien aanvallers hier actief en op grote schaal misbruik van maken. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security en het Amerikaanse Cyber Command hebben een zelfde oproep gedaan.

Confluence is een door Atlassian ontwikkeld wikiplatform waarmee teams van organisaties kunnen samenwerken. Een kwetsbaarheid in de software, aangeduid als CVE-2021-26084, maakt het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren en zo volledige controle over de server te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. In sommige gevallen is misbruik door een ongeauthenticeerde aanvaller mogelijk.

"Misbruik van deze kwetsbaarheid kan er onder andere toe leiden dat kwaadwillenden een systeem overnemen of toegang krijgen tot gevoelige informatie. Misbruik door kwaadwillenden is eenvoudig, mede doordat voorbeeldcode op internet beschikbaar is waarmee de kwetsbaarheid kan worden misbruikt", aldus het NCSC, dat organisaties en bedrijven adviseert om de beschikbare beveiligingsupdate zo snel mogelijk te installeren. Volgens Censys zijn er nog bijna 12.000 kwetsbare Confluence-servers vanaf het internet toegankelijk.

Image

Reacties (23)
05-09-2021, 11:36 door Toje Fos - Bijgewerkt: 05-09-2021, 11:54
Grijp uw kans om naar een open-source oplossing over te stappen. Zoals XWiki: https://www.xwiki.org/xwiki/bin/view/Main/Feedback/Testimonials

De broncode: https://dev.xwiki.org/xwiki/bin/view/Community/SourceRepository
05-09-2021, 11:44 door Anoniem
Door Toje Fos: Grijp uw kans om naar een open-source oplossing over te stappen, zoals bv.:

- https://hive.com/
- https://tettra.com/

De genoemde links hebben een gratis plan maar zijn niet open source.

Een open source alternatief is:

https://www.bookstackapp.com/ MIT License
05-09-2021, 12:39 door Anoniem
Door Toje Fos: Grijp uw kans om naar een open-source oplossing over te stappen. Zoals XWiki: https://www.xwiki.org/xwiki/bin/view/Main/Feedback/Testimonials

De broncode: https://dev.xwiki.org/xwiki/bin/view/Community/SourceRepository
Een Enterprise systeem even vervangen voor een ander product.

Komt mij een beetje over als de klaverblad reclame. Iets adviseren, maar je hebt eigenlijk geen idee, waar je het nu eigenlijk over hebt.
05-09-2021, 17:08 door Toje Fos
Door Anoniem:
Door Toje Fos: Grijp uw kans om naar een open-source oplossing over te stappen. Zoals XWiki: https://www.xwiki.org/xwiki/bin/view/Main/Feedback/Testimonials

De broncode: https://dev.xwiki.org/xwiki/bin/view/Community/SourceRepository
Een Enterprise systeem even vervangen voor een ander product.

Komt mij een beetje over als de klaverblad reclame. Iets adviseren, maar je hebt eigenlijk geen idee, waar je het nu eigenlijk over hebt.

Als je het nu niet doet dan komt het er nooit meer van!
05-09-2021, 19:01 door Anoniem
Door Anoniem:
Een Enterprise systeem even vervangen voor een ander product.

Komt mij een beetje over als de klaverblad reclame. Iets adviseren, maar je hebt eigenlijk geen idee, waar je het nu eigenlijk over hebt.

Vind je het zelf een goed product? Ik zag het in gebruik bij een leverancier maar ik vond het nogal zwakjes overkomen,
maar kan zijn dat die leverancier het niet goed of niet volop gebruikt natuurlijk...

Ik zou bijvoorbeeld verwachten dat als je zo iets gebruikt voor documentatie, dat je dan aparte views op de documentatie
kunt hebben voor stable en beta versies, en wellicht voor iedere gereleasde versie.
05-09-2021, 19:27 door Toje Fos - Bijgewerkt: 05-09-2021, 19:45
Door Anoniem:
Door Toje Fos: Grijp uw kans om naar een open-source oplossing over te stappen, zoals bv.:

- https://hive.com/
- https://tettra.com/

De genoemde links hebben een gratis plan maar zijn niet open source. ...

Welke links? Ik schreef: De broncode: https://dev.xwiki.org/xwiki/bin/view/Community/SourceRepository
05-09-2021, 21:52 door Anoniem
Door Toje Fos: Grijp uw kans om naar een open-source oplossing over te stappen. Zoals XWiki: https://www.xwiki.org/xwiki/bin/view/Main/Feedback/Testimonials

De broncode: https://dev.xwiki.org/xwiki/bin/view/Community/SourceRepository
Ik gebruik al jaren dokuwiki (Keep It Super Simple). Het slaat de data op in files en niet in een database.
06-09-2021, 08:21 door Toje Fos - Bijgewerkt: 06-09-2021, 09:18
Door Anoniem:
Door Toje Fos: Grijp uw kans om naar een open-source oplossing over te stappen. Zoals XWiki: https://www.xwiki.org/xwiki/bin/view/Main/Feedback/Testimonials

De broncode: https://dev.xwiki.org/xwiki/bin/view/Community/SourceRepository
Ik gebruik al jaren dokuwiki (Keep It Super Simple). Het slaat de data op in files en niet in een database.

Is dat schaalbaar? Hoewel dergelijke flat files oplossingen voordelen kunnen hebben bij kleinschalig gebruik zijn databases voor dataopslag niet voor niks ontstaan.

Update: oh wacht, PHP... (duh, dan valt het sowieso al af voor grootschaliger gebruik)
06-09-2021, 09:28 door Anoniem
MediaWiki is hartstikke schaalbaar:

https://www.mediawiki.org/wiki/MediaWiki
06-09-2021, 09:37 door Toje Fos - Bijgewerkt: 06-09-2021, 09:39
Door Anoniem: MediaWiki is hartstikke schaalbaar:

https://www.mediawiki.org/wiki/MediaWiki

Nee, helaas niet (PHP). Ik houd het bij XWiki (Java EE).
06-09-2021, 09:57 door Anoniem

Nee, helaas niet (PHP). Ik houd het bij XWiki (Java EE).

Heel wikipedia is gebouwd op MediaWiki en jij beweert dat het niet schaalbaar is?
Het lijkt me op zijn zachtst gezegd een niet geheel objectieve mening.
06-09-2021, 10:06 door Anoniem
Door Toje Fos:
Is dat schaalbaar? Hoewel dergelijke flat files oplossingen voordelen kunnen hebben bij kleinschalig gebruik zijn databases voor dataopslag niet voor niks ontstaan.
Flat files hebben ook voordelen, zeker voor het opslaan van "blobs" zoals webpagina's. Een filesystem is geoptimaliseerd
voor het dynamisch alloceren van variabele data inclusief het weer verwijderen ervan en die ruimte weer beschikbaar
maken voor andere toepassingen, en databases zijn daar vaak zwak in omdat ze de hele database opslaan in een grote
file op het onderliggende filesystem, die vaak alleen maar kan groeien tenzij je een kostbare reorganisatie operatie doet
die meestal neerkomt op het maken van een copie. Daar moet je dan ook weer ruimte voor hebben.

Iets wat ik in een dergelijk wiki systeem zou willen zien is dat je wiki omgeving een view is op een branch van een versioning
systeem. Dus je hebt de mogelijkheid om van in principe dezelfde pagina's meerdere versies in je systeem te hebben die
gebruikers naast elkaar kunnen zien. Je hebt een product waarvan je de documentatie van je gereleasde versie in de wiki
hebt staan, en tegelijkertijd werk je verder aan de volgende versie. De documentatie daarvan is in principe gelijk, maar
je gaat gaandeweg terwijl je ontwikkelt die documentatie aanpassen. Gebruikers die naar je bestaande documentatie
kijken die zien dat niet, maar er is een mogelijkheid door ergens te klikken om te switchen naar de documentatie van
de ontwikkelversie en dan zie je daar de documentatie van. Op het moment dat die versie de release versie wordt kun
je die documentatie weer doorzetten naar de standaard view die de mensen krijgen als ze de site openen. Het mooiste
is als je op deze manier ook documentatie van in het verleden gereleasde versies online kunt houden. En uiteraard
de mogelijkheid om "changebars" te laten zien die aangeven wat het verschil is tussen 2 versies.
Zonder dit soort mogelijkheden hebben ontwikkelaars de neiging om het documenteren van nieuwe features uit te
stellen tot vlak voor de release in plaats van parallel aan het ontwikkelen meteen ook de documentatie aan te passen.
Gevolg is incorrecte documentatie. En ook is het heel lastig om documentatie van de niet-meer-nieuwste versie te
bekijken.

Maar dergelijke features zie ik niet in Confluence.
06-09-2021, 11:15 door Anoniem
Door Toje Fos: Grijp uw kans om naar een open-source oplossing over te stappen. Zoals XWiki: https://www.xwiki.org/xwiki/bin/view/Main/Feedback/Testimonials

De broncode: https://dev.xwiki.org/xwiki/bin/view/Community/SourceRepository
Want Open Source software hoeft je nooit meer te patchen? :-S

Ik vind OSS heel mooi, maar deze opmerking slaat echt kant noch wal.
06-09-2021, 13:05 door Anoniem
Door Anoniem:

Iets wat ik in een dergelijk wiki systeem zou willen zien is dat je wiki omgeving een view is op een branch van een versioning
systeem.

Inderdaad. Zoiets moet het zijn, een combinatie van git en https://en.wikipedia.org/wiki/WikipediaFS


Maar dergelijke features zie ik niet in Confluence.

Het is natuurlijk een gedrocht (anders zou je geen last hebben van exploits via OGNL).
Managers willen Confluence omdat het glimt en omdat Atlassian praat over "market focus" en "strategic planning".
06-09-2021, 15:25 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Toje Fos: Grijp uw kans om naar een open-source oplossing over te stappen. Zoals XWiki: https://www.xwiki.org/xwiki/bin/view/Main/Feedback/Testimonials

De broncode: https://dev.xwiki.org/xwiki/bin/view/Community/SourceRepository
Ik gebruik al jaren dokuwiki (Keep It Super Simple). Het slaat de data op in files en niet in een database.

Is dat schaalbaar? Hoewel dergelijke flat files oplossingen voordelen kunnen hebben bij kleinschalig gebruik zijn databases voor dataopslag niet voor niks ontstaan.

Update: oh wacht, PHP... (duh, dan valt het sowieso al af voor grootschaliger gebruik)
java is ook niet alles.
06-09-2021, 15:35 door Anoniem
Door Anoniem:
Door Anoniem:

Iets wat ik in een dergelijk wiki systeem zou willen zien is dat je wiki omgeving een view is op een branch van een versioning
systeem.

Inderdaad. Zoiets moet het zijn, een combinatie van git en https://en.wikipedia.org/wiki/WikipediaFS


Maar dergelijke features zie ik niet in Confluence.

Het is natuurlijk een gedrocht (anders zou je geen last hebben van exploits via OGNL).
Managers willen Confluence omdat het glimt en omdat Atlassian praat over "market focus" en "strategic planning".
Kijk ook eens naar https://docs.gitlab.com/ee/user/project/wiki/
If you don’t want to keep your documentation in your repository, but you want to keep it in the same project as your code, you can use the wiki GitLab provides in each GitLab project. Every wiki is a separate Git repository, so you can create wiki pages in the web interface, or locally using Git.
06-09-2021, 15:58 door Toje Fos
Door Anoniem:

Nee, helaas niet (PHP). Ik houd het bij XWiki (Java EE).

Heel wikipedia is gebouwd op MediaWiki en jij beweert dat het niet schaalbaar is?
Het lijkt me op zijn zachtst gezegd een niet geheel objectieve mening.

Klopt, vroeg of laat gaat het op de PHP-bek!

Door Anoniem: Het lijkt me op zijn zachtst gezegd een niet geheel objectieve mening.

Welnee, waarom? Het is toch iedere professional duidelijk dat PHP alleen voor hobbyprojectjes als een (kleine) persoonlijke pagina op internet gebruikt zou moeten worden? Luntrus, et al.?
06-09-2021, 16:15 door Anoniem
Door Toje Fos:

Het is toch iedere professional duidelijk dat PHP alleen voor hobbyprojectjes als een (kleine) persoonlijke pagina op internet gebruikt zou moeten worden? Luntrus, et al.?[/quote]

Wat is er dan mis met PHP in jouw ogen?

MediaWiki is ook in PHP gemaakt. Daar kijk je naar als je naar www.wikipedia.org gaat.
07-09-2021, 10:17 door Anoniem
Door Anoniem:
Kijk ook eens naar https://docs.gitlab.com/ee/user/project/wiki/
Het ging me eigenlijk niet om 'wat is een beter product dan Confluence' maar meer om de stelling dat Confluence een
enterprise product is ( 05-09-2021, 12:39 door Anoniem ) en dat ik in dat geval een toch wel behoorlijk essentiele feature
mis. Nou is "enterprise" natuurlijk niet hetzelfde als "goed" en "bruikbaar", maar het is toch wel een vreemde situatie.
07-09-2021, 10:23 door Toje Fos
Door Anoniem:
Door Toje Fos:

Het is toch iedere professional duidelijk dat PHP alleen voor hobbyprojectjes als een (kleine) persoonlijke pagina op internet gebruikt zou moeten worden? Luntrus, et al.?

Wat is er dan mis met PHP in jouw ogen?

Ik heb even voor je gegoogled: https://medium.com/swlh/one-year-from-php-dying-this-decade-32e2b7a79507

Door Anoniem: MediaWiki is ook in PHP gemaakt. Daar kijk je naar als je naar www.wikipedia.org gaat.

En? Ise een legacy site ondertussen.
08-09-2021, 08:13 door Toje Fos
Door Anoniem:
Door Toje Fos: ...

Update: oh wacht, PHP... (duh, dan valt het sowieso al af voor grootschaliger gebruik)
java is ook niet alles.

Dat is zeker waar maar toch is het van een heel andere categorie dan PHP.
08-09-2021, 11:17 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Toje Fos: ...

Update: oh wacht, PHP... (duh, dan valt het sowieso al af voor grootschaliger gebruik)
java is ook niet alles.

Dat is zeker waar maar toch is het van een heel andere categorie dan PHP.

Ja, vooral Java met Object Graph Navigation Language-library waarmee nuttige data uit eindeloze, geoverengineerde grafen van objecten (EnTerPrIsE BeAnS ...oh nee PoJo's!) gehaald kan worden:

https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.