Confluence เพิ่มฟีเจอร์ใหม่ที่เรียกว่า Confluence database ซึ่งก็คือ... การเปลี่ยน Confluence ให้เป็นฐานข้อมูล

เดิมทีนั้น Confluence ถูกใช้เก็บข้อมูล-คลังความรู้ในรูปหน้าเอกสาร (page) ที่เก็บลงในฐานข้อมูลอีกต่อหนึ่งอยู่แล้ว แต่การมาถึงของฟีเจอร์ database ทำให้ข้อมูลที่เก็บใน Confluence ไม่จำเป็นต้องปรากฏตัวในรูปของ page เสมอไป (แยกส่วน data storage กับ presentation ออกจากกัน) เราสามารถนำข้อมูลจากภายนอก Confluence เช่น Jira, CSV, HTML เข้ามาเก็บลง Confluence database ได้โดยตรง แล้วเลือกนำเสนอข้อมูลเหล่านั้นเป็น page ในรูปแบบเทมเพลตที่แตกต่างกันได้

Atlassian แจ้งเตือนว่า Confluence Server และ Confluence Data Center ระบบจัดการโครงการซอฟต์แวร์ มีช่องโหว่ CVE-2022-26134 เปิดทางให้แฮกเกอร์รันโค้ดในเซิร์ฟเวอร์ได้ โดยตอนนี้พบแฮกเกอร์เริ่มโจมตีแล้ว และยังไม่มีแพตช์

ลูกค้าที่ใช้บริการ Confluence ผ่านทาง Atlassian Cloud ไม่ได้รับผลกระทบจากช่องโหว่นี้ ตัวช่องโหว่กระทบตั้งแต่ Confluence 7.4.0 ขึ้นไป แต่เวอร์ชั่นที่พบว่าถูกโจมตีคือ 7.18.0

ตอนนี้ยังไม่มีแพตช์ ทาง Atlassian แนะนำว่าควรปิดไม่ให้เซิร์ฟเวอร์เข้าถึงจากอินเทอร์เน็ตได้ หรือไม่เช่นนั้นก็อาจจะปิดเซิร์ฟเวอร์ไปก่อน

ที่มา - Atlassian

ช่วงปลายเดือนสิงหาคมที่ผ่านมา Atlassian ออกแพตช์แก้ไขช่องโหว่ร้ายแรงระดับวิกฤติใน Confluence Server ระบบจัดการโครงการซอฟต์แวร์ (CVE-2021-26084) แต่หลังจากออกแพตช์มาไม่นาน US-CERT ก็เตือนว่าคนร้ายเริ่มใช้ช่องโหว่โจมตีแล้ว องค์กรที่ใช้งานซอฟต์แวร์จึงควรเร่งอัพเดตทันที

ช่องโหว่นี้เป็นช่องโหว่ OGNL (Object-Graph Navigation Language) injection แฮกเกอร์สามารถยิงสคริปต์เข้าไปรันบนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตนใดๆ ทำให้กระทบเซิร์ฟเวอร์ทั้งหมดแม้จะเป็นเซิร์ฟเวอร์ปิดสำหรับใช้งานในองค์กรเท่านั้น

Atlassian บริษัทเจ้าของซอฟต์แวร์ด้านการทำงานเป็นทีม-การพัฒนาซอฟต์แวร์ชื่อดังๆ หลายตัวอย่าง Jira, Confluence, Trello, Bitbucket ประกาศปรับแพ็กเกจบริการของตัวเองใหม่ โดยเพิ่ม free tier สำหรับบริการบางตัวอย่าง Jira และ Confluence ด้วย

ก่อนหน้านี้ Atlassian มีแพ็กเกจฟรีเฉพาะซอฟต์แวร์บางตัว เช่น Trello หรือ Bitbucket แต่ล่าสุดได้ขยายแพ็กเกจฟรีเพิ่มมายังซอฟต์แวร์อีก 4 ตัว