Atlassian 应对 CVE-2022-22963，CVE-2022-22965 的常见问题

CVE-2022-22965 常见问题解答

基本信息

已发现 Spring Framework 中的关键远程代码执行漏洞 CVE-2022-22965。根据 Spring 的安全公告，此漏洞会影响在 JDK 9 及更高版本上运行的 Spring MVC 和 Spring WebFlux 应用程序。

此页面包含有关“CVE-2022-22965：通过 JDK 9+ 上的数据绑定的 Spring Framework RCE”的常见问题和解答。Atlassian会及时更新，欢迎关注。

云实例是否受到影响？

不，Atlassian 的云实例没有受到任何已知漏洞的影响，客户不需要采取任何行动。我们的分析没有发现 Atlassian 系统或客户数据受到任何影响。出于谨慎考虑，使用受影响的 Spring 版本的服务将作为优先事项进行修补，以防发现新的攻击载体。

本地服务器版/数据中心版产品是否受到影响？

正在进行的调查已确定，当满足一组狭隘的前提条件时，以下本地部署的产品易受攻击：

• Bamboo 服务器版和数据中心版

• Confluence 服务器版和数据中心版

• Jira Software 服务器版和数据中心版

• Jira Service Management 服务器版和数据中心版

要成功被攻击，须满足以下所有前提条件：

• 产品在 JDK9 或更高版本上运行

• 攻击者欺骗用户，发出恶意的 HTTP 请求

• 该请求包含一个有效的跨站请求伪造令牌（请注意，同源策略会阻止攻击者获得用户的有效令牌）。

• 目标用户以 "系统管理员 "的权限登录到应用程序。

• 仅限 Jira 和 Confluence：目标用户还拥有一个活跃的 "安全管理员会话"（注意，这些会话默认只持续 10 分钟）。

产品将根据我们的数据中心和服务器错误修复政策进行更新。

以下本地服务器版产品使用受影响的 Spring 版本，但不易受到任何已知漏洞的攻击：

• Bitbucket 服务器版和数据中心版

• Crowd

• Crucible

• Fisheye

出于谨慎考虑，这些产品将根据我们的数据中心和服务器错误修复政策进行更新。

以下本地服务器版产品不使用 Spring，也不需要打补丁：

• 基于 Mac 的 Sourcetree

• 基于 Windows 的 Sourcetree

在补丁可用之前，是否有任何临时解决方案可以缓解此漏洞？

使用受影响的本地部署产品的客户可以从运行 JDK 9 或更高版本降级到 JDK 8 或更低版本。这将消除被攻击的可能性。这些指令可用于更改 Jira 和 Confluence 的 Java 版本：

• Jira：https://confluence.atlassian.com/jirakb/change-the-java-version-used-by-jira-server-765594330.html
  

• Confluence：https://confluence.atlassian.com/doc/change-the-java-vendor-or-version-confluence-uses-962342397.html
  

Marketplace 应用程序是否受到影响？

云应用程序

由 Atlassian 开发的适用于我们云产品的 Marketplace 应用程序目前不易受到任何已知的 CVE-2022-22965 漏洞的攻击。出于谨慎考虑，Atlassian 使用受影响的 Spring 版本开发的 Marketplace 云应用程序将作为优先事项进行修补，以防发现新的攻击媒介。

由第三方合作伙伴为我们的云产品开发的 Marketplace 应用程序正在积极调查中。任何被发现可被 CVE-2022-22965 利用的第三方应用程序都将在 Marketplace 中暂停，直到它被修补，并且受影响的客户将收到通知。

数据中心和服务器应用程序

Atlassian 正在积极调查 Marketplace 中的所有服务器和数据中心应用程序，以确定是否正在使用受影响的 Spring 版本。如果检测到使用受影响的 Spring 版本的应用程序， Marketplace 合作伙伴将收到一张漏洞函，要求在加急的时间内提供补丁。任何被发现可被 CVE-2022-22965 利用的 Marketplace 应用程序都将从 Marketplace 隐藏，并通知受影响的客户。

请注意，Atlassian Marketplace 中未列出的应用程序未经过 Atlassian 审核。客户应直接联系这些开发人员，以获取有关其应用程序中此 CVE 的信息。

应用开发者在哪里可以找到更多信息？

注意：CVE-2022-22965 Spring Framework RCE 调查

Atlassian 产品是否容易受到 CVE-2022-22963 的攻击？

CVE-2022-22963 是 Spring Cloud Function 包中的一个漏洞，与随后发布的 CVE-2022-22965 无关。Atlassian 云实例和本地产品不易受到 CVE-2022-22963 的任何已知漏洞的攻击。