| Разработчики: | Atlassian |
| Дата последнего релиза: | август 2013 года |
| Отрасли: | Интернет-сервисы |
| Технологии: | KMS - Knowledge Management Systems, Корпоративные порталы |
Confluence сочетает в себе мощные возможности создания онлайн-документов, тесной интеграции с Microsoft Office для того чтобы помочь людям лучше работать вместе, обмениваться информацией и накапливать знания. Confluence используют как портал, систему управления знаниями и документацией.
Atlassian Confluence — прикладное приложение для управления корпоративным контентом, предназначенное для накопления и обмена информацией в пределах компании или группы компаний. Может использоваться для организации общедоступных баз знаний, внешних и внутренних справочно-информационных порталов и ресурсов для работы с документацией, ведения блогов и веб-публикаций, включая публикации отчетов; управления знаниями и документирования бизнес-процессов.
Является универсальной, значительно расширенной по сравнению с программными продуктами данного класса платформой, набор функций которой позволяет использовать решение для организации электронного документооборота компании. Приложение создано австралийской компанией Atlassian Software Systems.
2024: В популярной платформе Confluence нашли ещё одну критическую уязвимость. Она позволяет угнать сервер без аутентификации
ФСТЭК в середине января 2024 года предупредила[1] об обнаружении еще одной опасной уязвимости BDU:2024-00325 в веб-сервере Atlassian Confluence Server и дата-центре Confluence Data Center, которая позволяет дистанционно выполнить посторонний код неавторизованному пользователю и с его помощью перехватить управление им. Уязвимость также получила наивысший бал опасности по CVSS – 10 из 10.
Atlassian Confluence Server и Data Center – это платформы для совместной работы с данными с помощью веб-интерфейсов, предназначенные для корпоративных нужд.
Уязвимость позволяет постороннему нарушителю, действующему удалённо, выполнить произвольный код в контексте сервера путём внедрения специально сформированного шаблона с вредоносным кодом причем без проведения процедуры аутентификации. Ошибка присутствует в версиях Confluence 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x и 8.5.0–8.5.3, но отсутствует в 7.19.x LTS. Догнать и перегнать: Российские ВКС прирастают новыми функциями 
Сама Atlassian рекомендует переходить на версии 8.5.4, 8.5.5 (Confluence Data Center and Server), 8.6.0, 8.7.1 и 8.7.2 (Confluence Data Center), в которых проблема уже была решена[2].
При этом фиксируются попытки эксплуатации данной уязвимости и первые эксплойты для нее. Пока, впрочем, есть сведения только об успешной эксплуатации данной уязвимости исследовательской группой Positive Technologies Offensive Team (PT SWARM), а также заявления проекта AttackerKB о начале эксплуатации этой уязвимости хакерами.
Подробный разбор уязвимости был проведен[3] 22 января двумя исследователями Рахулом Майни и Харшем Джайсвал из ProjectDiscovery Research, которые составили тестовый эксплойт для проверки конкретной установки Confluence на наличие указанной уязвимости.
В качестве рекомендаций по устранению опасности можно было бы посоветовать переходить на последние исправленные версии продуктов, однако далеко не всем это доступно. Поэтому можно воспользоваться советами ФСТЭК:
 |
|  |
2023: Опасная уязвимости в Confluence эксплуатируется вымогателями. ФСТЭК рекомендует защищаться
ФСТЭК предупреждает о появлении новой опасной уязвимости в веб-сервере Atlassian Confluence Server и центре обработки данных Confluence Data Center. Уязвимость, которая получила код BDU:2023-07453 (CVE-2023-22518), связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии. Уровень опасности уязвимости по CVSS обозначен как 9.1 из 10.
Atlassian Confluence активно использовался российскими компаниями несколько лет назад, однако сейчас эти системы остались без обслуживания – компания Atlassian прекратила свою работу на территории России. В то же время продукты компании до сих пор остались и работают. Так по данным сервиса Netlas.io количество уязвимых к указанной уязвимости серверов на территории России составляет 1242, что достаточно много для возможного нападения для них. Причем, больше таких серверов только в Германии (3112) и США (2500).
Компании, которые занимаются мониторингом вредоносной активности в Интернет, обнаружили использование эксплойтов, нацеленных на новую уязвимость. В частности, в отчетах GreyNoise появился целый раздел, посвященный ей, правда, пока количество зафиксированных атак не очень большое. Также свой отчет по эксплуатации этой уязвимости опубликовала в своем блоге и компания Rapid7. Причем в качестве первых пользователей этой уязвимости указываются вымогатели, в частности, из группы Cerber (она же CerberImposter).
В связи с этим ФСТЭК рекомендует установку обновлений из доверенных источников (производитель таковым не является) или реализацию компенсирующих мер, направленных в основном на отключение уязвимых серверов от сети Интернет: создание резервной копии своего экземпляра программного средства с настройками и данными; ограничение доступа к программному обеспечению из внешних сетей (Интернет); использование виртуальных частных сетей для организации удаленного доступа (VPN). По данным Atlassian ошибка исправлена в версиях Confluence Data Center and Server 7.19.16, 8.3.4, 8.4.4, 8.5.3 и 8.6.1. Также на сайте производителя опубликованы временные меры защиты, которые можно применить в случае, если обновления не доступны.
Чем заменить Atlassian Confluence?
В единственном имеющемся в открытых источниках достоверном анализе систем менеджмента знаний - отчете CCGuru, сформированном в конце 2021 года - рассматриваются шесть главных игроков на рынке данного программного обеспечения.
Из этого списка сразу необходимо исключить KMS Lighthouse (израильское решение) и продукт «Масс групп», судя по всем признакам уже приостановившей свою деятельность на территории РФ. Указанные решения, несмотря на их возможные плюсы и опыт на рынке, из-за санкционных рисков не могут быть рекомендованы в качестве альтернативы Confluence.
Таким образом, при всем богатстве выбора достойной заменой продуктам Atlassian могут стать лишь три крупных российских разработки:
Все три системы имеют объективные плюсы и минусы, но их глубокий анализ не является предметом данной статьи, потому руководству компаний все же рекомендуется решение принимать самостоятельно, с учетом потребностей и только после глубокого сравнительного анализа возможностей, предлагаемых системами (подробнее).
Confluence 5.2
- Поиск просмотренных недавно публикаций в один клик;
- Усовершенствованный интерфейс и быстрые фильтры;
- Более релевантные результаты благодаря улучшенному алгоритму поиска;
- Повышенная производительность – индексация поиска использует на 40% меньше места на диске.
Confluence 4.3
- При доступе к порталу с мобильного устройства отображается специальный мобильный сайт с удобной организацией;
- Добавлена система создания и отслеживания повседневных задач, а также назначения задач коллегам;
- Переработана система создания шаблонов, добавлен функционал по созданию шаблонов с любым количеством макросов;
- При создании таблиц данных на портале появилась возможность раскрашивания ячеек в разные цвета, сортировки и использования базовых формул расчета.
Confluence 3.5
Продукт был серьезно доработан по функционалу, а также было улучшено взаимодействие между ним и мощной системой автоматизации разработки – Atlassian JIRA 4.3, для удобства пользователей. Основные улучшения в Confluence 3.5:
- Новая кнопка быстрой публикации страниц по почте или в блоги;
- Возможность добавлять запросы JIRA из редактора;
- Поддержка HTML5 браузеров (Firefox 3.6, Firefox 4, Safari 5, IE 9) с возможностью принятия файлов через Drag and Drop перетаскивание объектов;
- Добавлена возможность отслеживать блоги в пространствах;
- Возможность встраивать видео в страницы с помощью макроса Мультимедиа;
- Поддержка вложенных групп безопасности;
- Отслеживание отзывов на свои новые включения на портал.
Примечания
Лучшие интеграторы данного продукта по годам
IFellow (АйФэлл) (2) Системный софт (Сиссофт, SysSoft) (2) Без привлечения консультанта или нет данных (1) Pingwin Software (Пингвин софтвер) (1) Другие (0)Данные не найдены
Данные не найдены
| Интегратор | на базе продукта |
|---|---|
| IFellow (АйФэлл) | 2 |
| Системный софт (Сиссофт, SysSoft) | 2 |
| Без привлечения консультанта или нет данных | 1 |
| Pingwin Software (Пингвин софтвер) | 1 |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (110) Extyl (Экстил) (94) WebSoft (ВебСофт Девелопмент) (88) КСК Технологии (62) Carbon Soft (Карбон Софт) EvaTeam (50) Другие (949) Extyl (Экстил) (24) Факт (ЦИТ Факт, Центр интернет-технологий Факт) (8) WebSoft (ВебСофт Девелопмент) (6) Корус Консалтинг (6) GMCS (2) Другие (30) Carbon Soft (Карбон Софт) EvaTeam (15) Extyl (Экстил) (14) Areal, Ареал (ранее Arealidea) (4) Корус Консалтинг (4) Elma (Элма, Интеллект Лаб, Практика БПМ) (4) Другие (28)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Microsoft (53, 385) 1С-Битрикс (14, 306) WebSoft (ВебСофт Девелопмент) (1, 93) КСК Технологии (1, 61) Carbon Soft (Карбон Софт) EvaTeam (1, 51) Другие (281, 393) 1С-Битрикс (4, 39) WebSoft (ВебСофт Девелопмент) (1, 6) Microsoft (3, 4) Корус Консалтинг (3, 3) Oracle (2, 2) Другие (8, 9) 1С-Битрикс (5, 30) Carbon Soft (Карбон Софт) EvaTeam (1, 15) Elma (Элма, Интеллект Лаб, Практика БПМ) (1, 4) WebSoft (ВебСофт Девелопмент) (1, 2) Лига Цифровой Экономики (1, 2) Другие (5, 6) 1С-Битрикс (3, 29) Carbon Soft (Карбон Софт) EvaTeam (1, 29) WebSoft (ВебСофт Девелопмент) (1, 2) Content AI (Контент ИИ) (1, 1) Inferit (Инферит) (1, 1) Другие (4, 4)Распределение систем по количеству проектов, не включая партнерские решения
1С-Битрикс24 - 145 Websoft HCM (ранее WebTutor) - 93 1С-Битрикс: Управление сайтом - 89 1С-Битрикс: Корпоративный портал - 71 Microsoft SharePoint - 62 Другие 751 1С-Битрикс24 - 21 1С-Битрикс: Управление сайтом - 16 Websoft HCM (ранее WebTutor) - 6 1С-Битрикс: Корпоративный портал - 3 Atlassian Confluence - 2 Другие 16 1С-Битрикс: Управление сайтом - 16 Carbon Soft EvaWiki - 15 1С-Битрикс24 - 12 ELMA365 Внешний портал - 4 Websoft HCM (ранее WebTutor) - 2 Другие 10 Подрядчики-лидеры по количеству проектов
Carbon Soft (Карбон Софт) EvaTeam (50) Крафт-Толк (CraftTalk) (13) Naumen (Наумен консалтинг) (7) Ньюлэнд технолоджи (Newland technology) (3) DIS Group - ДИС Групп - Дата Интегрейшн Софтвер - Data Integration Software (3) Другие (17) L2U (Л2Ю) (2) Крафт-Толк (CraftTalk) (2) IFellow (АйФэлл) (1) Naumen (Наумен консалтинг) (1) Ньюлэнд технолоджи (Newland technology) (1) Другие (1) Carbon Soft (Карбон Софт) EvaTeam (15) Крафт-Толк (CraftTalk) (6) Naumen (Наумен консалтинг) (3) Ньюлэнд технолоджи (Newland technology) (2) IFellow (АйФэлл) (1) Другие (1)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Carbon Soft (Карбон Софт) EvaTeam (1, 51) Крафт-Толк (CraftTalk) (2, 14) Minervasoft (Пантеон Айти) (1, 8) Naumen (Наумен консалтинг) (1, 8) Atlassian (1, 6) Другие (10, 9) L2U (Л2Ю) (1, 2) Atlassian (1, 2) Крафт-Толк (CraftTalk) (1, 2) Naumen (Наумен консалтинг) (1, 1) Minervasoft (Пантеон Айти) (1, 1) Другие (0, 0) Carbon Soft (Карбон Софт) EvaTeam (1, 15) Крафт-Толк (CraftTalk) (1, 6) Naumen (Наумен консалтинг) (1, 4) Minervasoft (Пантеон Айти) (1, 4) Atlassian (1, 1) Другие (0, 0) Carbon Soft (Карбон Софт) EvaTeam (1, 29) Крафт-Толк (CraftTalk) (1, 3) Minervasoft (Пантеон Айти) (1, 2) Naumen (Наумен консалтинг) (1, 2) Дата инновации (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Carbon Soft EvaWiki - 51 CraftTalk AI-платформа для коммуникации с клиентами - 14 Minerva Knowledge (ранее Minerva KMS и Naumen KMS) - 8 Atlassian Confluence - 6 KMS Lighthouse (Knowledge Management System Lighthouse) - 4 Другие 5 CraftTalk AI-платформа для коммуникации с клиентами - 2 Atlassian Confluence - 2 L2U InKnowledge (KMS) - 2 Minerva Knowledge (ранее Minerva KMS и Naumen KMS) - 1 Другие 0 Carbon Soft EvaWiki - 15 CraftTalk AI-платформа для коммуникации с клиентами - 6 Minerva Knowledge (ранее Minerva KMS и Naumen KMS) - 4 Atlassian Confluence - 1 Другие 0 
