Atlassian Bitbucket Server and Data Center命令注入漏洞安全风险通告

admin 2022年11月22日03:12:25安全漏洞评论11 views2669字阅读8分53秒阅读模式
Atlassian Bitbucket Server and Data Center命令注入漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的数据中心版本。

近日,奇安信CERT监测到Atlassian Bitbucket Server and Data Center中存在命令注入漏洞(CVE-2022-43781),拥有其用户名控制权限的攻击者可利用环境变量进行命令注入,成功利用此漏洞的远程攻击者可在目标机器上执行任意命令。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。


漏洞名称

Atlassian Bitbucket Server and Data Center命令注入漏洞

公开时间

2022-11-16

更新时间

2022-11-21

CVE编号

CVE-2022-43781

其他编号

CNNVD-202211-2958

威胁类型

代码执行、命令执行

技术类型

命令注入

厂商

Atlassian

产品

Bitbucket Server

Bitbucket Data Center

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未发现

漏洞描述

Atlassian Bitbucket Server and Data Center中存在命令注入漏洞,拥有其用户名控制权限的攻击者可利用环境变量进行命令注入,成功利用此漏洞的远程攻击者可在目标机器上执行任意命令。

影响版本

7.0 <= Atlassian Bitbucket Server and Data Center <= 7.5

7.6.0 <= Atlassian Bitbucket Server and Data Center <= 7.6.18

7.7 <= Atlassian Bitbucket Server and Data Center <= 7.16

7.17.0 <= Atlassian Bitbucket Server and Data Center <= 7.17.11

7.18 <= Atlassian Bitbucket Server and Data Center <= 7.20

7.21.0 <= Atlassian Bitbucket Server and Data Center <= 7.21.5

如果在bitbucket.properties中设置了mesh.enabled=false,则以下版本也受影响:

8.0.0 <= Atlassian Bitbucket Server and Data Center <= 8.0.4

8.1.0 <= Atlassian Bitbucket Server and Data Center <= 8.1.4

8.2.0 <= Atlassian Bitbucket Server and Data Center <= 8.2.3

8.3.0 <= Atlassian Bitbucket Server and Data Center <= 8.3.2

8.4.0 <= Atlassian Bitbucket Server and Data Center <= 8.4.1

不受影响版本

7.6.19 <= Atlassian Bitbucket Server and Data Center 7.6.x

7.17.12 <= Atlassian Bitbucket Server and Data Center 7.17.x

7.21.6 <= Atlassian Bitbucket Server and Data Center 7.21.x

8.0.5 <= Atlassian Bitbucket Server and Data Center 8.0.x

8.1.5 <= Atlassian Bitbucket Server and Data Center 8.1.x

8.2.4 <= Atlassian Bitbucket Server and Data Center 8.2.x

8.3.3 <= Atlassian Bitbucket Server and Data Center 8.3.x

8.4.2 <= Atlassian Bitbucket Server and Data Center 8.4.x

8.5.0 <= Atlassian Bitbucket Server and Data Center 8.5.x

其他受影响组件



威胁评估

漏洞名称

Atlassian Bitbucket Server and Data Center命令注入漏洞

CVE编号

CVE-2022-43781

其他编号

CNNVD-202211-2958

CVSS 3.1评级

高危

CVSS 3.1分数

8.1

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

拥有其用户名控制权限的攻击者可利用环境变量进行命令注入,成功利用此漏洞的远程攻击者可在目标机器上执行任意命令。



处置建议

1、安全升级

目前Atlassian官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。
https://www.atlassian.com/software/bitbucket/download-archives

2、缓解方案

禁用公共注册:管理->身份验证,取消允许公开注册复选框。
禁用公开注册将攻击向量从未经身份验证的攻击更改为经过身份验证的攻击,从而降低利用风险。
当公开注册被禁用时,通过ADMINSYS_ADMIN身份验证的用户仍然可以利用该漏洞。因此,此缓解措施应视为临时步骤,建议客户尽快升级到已修复版本。
注:运行PostgreSQL的Bitbucket Server和Data Center实例不受此漏洞影响。



参考资料

[1]https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html

[2]https://www.atlassian.com/software/bitbucket/download-archives 



时间线

2022年11月21日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Atlassian Bitbucket Server and Data Center命令注入漏洞安全风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月22日03:12:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Atlassian Bitbucket Server and Data Center命令注入漏洞安全风险通告 http://cn-sec.com/archives/1422056.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: