top of page
作家相片Linktech

【Linktech 資安神隊友】Bitbucket Server & Data Center –命令注入弱點 - CVE-2022-43781

近期 Atlassian 公布了一則關於Bitbucket Server & Data Center之資訊安全相關的文章,此漏洞風險涵蓋到該產品下方指定之版本,如是有使用下方版本之客戶請注意 :

Product

Affected Versions

Bitbucket Server and Data Center

  • 7.0 to 7.5 (all versions)

  • 7.6.0 to 7.6.18

  • 7.7 to 7.16 (all versions)

  • 7.17.0 to 7.17.11

  • 7.18 to 7.20 (all versions)

  • 7.21.0 to 7.21.5

If mesh.enabled=false is set

in bitbucket.properties:

  • 8.0.0 to 8.0.4

  • 8.1.0 to 8.1.4

  • 8.2.0 to 8.2.3

  • 8.3.0 to 8.3.2

  • 8.4.0 to 8.4.1



Atlassian Cloud 不受影響

如果您通過 bitbucket.org 域訪問 Bitbucket,它將由 Atlassian 託管,您不會受該漏洞的影響。



漏洞摘要

Command Injection(命令注入弱點)是一種常見的網頁注入攻擊行為,若管理者未在網站的輸入表單中正確過濾敏感字元,攻擊者有則可能透過這些進入點,將指令傳送至 Server 本機中執行後,再將執行結果透過動態網頁語言輸出,藉此獲取機敏資訊或執行未經授權的任意指令。

本次漏洞為攻擊者使用特定環境變數將存在命令注入的漏洞。攻擊者有權控制其產生的username 並利用此漏洞來獲取代碼執行權限進而在系統上執行代碼。



解決方案

此風險當前 Atlassian rates 評判為嚴重等級。當貴司環境處於上方指定版本時就有可能會受到此漏洞所影響 (基本上當前所有 Bitbucket Server & Data Center 都會受到此漏洞所影響),請盡速做升級動作,升級到下方指定之發佈版本 :

當前客戶您的Bitbucket版本

建議升級之已修復版本

Bitbucket Server and Data Center

  • 7.6.19 or newer

  • 7.17.12 or newer

  • 7.21.6 or newer

  • 8.0.5 or newer

  • 8.1.5 or newer

  • 8.2.4 or newer

  • 8.3.3 or newer

  • 8.4.2 or newer

  • 8.5.0 or newer



緩解方法

如果短時間內沒有辦法進行升級,您可以通過下方方法來暫時緩解此問題 :

  • 臨時緩解步驟是禁用「Public Signup」- 禁用 Public Signup 會將攻擊媒介從未經身份驗證的攻擊更改為經過身份驗證的攻擊,從而降低風險。若要禁用此設置,請轉到 Administration >> Authentication 並清除 “Allow public sign up”checkbox。 但要注意禁用 Public Signup 後,ADMIN 或經過身份驗證 SYS_ADMIN 的使用者仍能夠利用此漏洞。因此,應將此緩解方法視為臨時步驟,依然建議客戶應儘快升級到修復版本。


補充資訊

如果貴司 Bitbucket Server 和 Data Center 使用之 Database 是 PostgreSQL 將不受此漏洞影響之範圍內,無須擔心。 最後再次提醒如貴司當前環境卻為漏洞影響之範圍內,請盡速做主程式的升級,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。


Atlassian針對此漏洞之完整說明,有需要請參考下方連結 –


Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Atlassian 系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。


資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。



161 次查看0 則留言

Comments


bottom of page