漏洞描述:
Atlassian Bitbucket Server and Data Center存在命令注入漏洞,该漏洞允许具有控制用户名权限的攻击者利用环境变量进行命令注入,从而实现系统命令执行。(若Atlassian Bitbucket Server and Data Center使用PostgreSQL作为数据库,则不受该漏洞影响。)
漏洞影响版本:
7.0 <= Bitbucket Server and Data Center <= 7.5
7.6.0 <= Bitbucket Server and Data Center <= 7.6.18
7.7 <= Bitbucket Server and Data Center <= 7.16
7.17.0 <= Bitbucket Server and Data Center <= 7.17.11
7.18 <= Bitbucket Server and Data Center <= 7.20
7.21.0 <= Bitbucket Server and Data Center <= 7.21.5
如果在bitbucket.properties中设置了mesh.enabled=false,则以下版本也受影响:
8.0.0 <= Bitbucket Server and Data Center <= 8.0.4
8.1.0 <= Bitbucket Server and Data Center <= 8.1.4
8.2.0 <= Bitbucket Server and Data Center <= 8.2.3
8.3.0 <= Bitbucket Server and Data Center <= 8.3.2
8.4.0 <= Bitbucket Server and Data Center <= 8.4.1
安全版本:
Bitbucket Server and Data Center ≥ 7.6.19
Bitbucket Server and Data Center ≥ 7.17.12
Bitbucket Server and Data Center ≥ 7.21.6
Bitbucket Server and Data Center ≥ 8.0.5
Bitbucket Server and Data Center ≥ 8.1.5
Bitbucket Server and Data Center ≥ 8.2.4
Bitbucket Server and Data Center ≥ 8.3.3
Bitbucket Server and Data Center ≥ 8.4.2
Bitbucket Server and Data Center ≥ 8.5.0
漏洞在野情况:
相关poc暂未流出
漏洞修复方式:
一、升级版本
目前Atlassian官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。下载链接:https://www.atlassian.com/software/bitbucket/download-archives。
二、缓解措施
该漏洞是由于用户名变量引起,可通过关闭前台注册功能从而降低风险,但通过ADMIN或SYS_ADMIN身份验证的用户仍然可以利用该漏洞,建议受影响用户尽快升级到安全版本。
1.禁用公共注册:管理->身份验证,取消允许公开注册复选框。
2.禁用公开注册将攻击向量从未经身份验证的攻击更改为经过身份验证的攻击,从而降低利用风险。
3.当公开注册被禁用时,通过ADMIN或SYS_ADMIN身份验证的用户仍然可以利用该漏洞。因此,此缓解措施应视为临时步骤,建议客户尽快升级到已修复版本。
评论