1、产品描述:Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的数据中心版本。。
2、影响产品组件和版本:
7.0.0 >=Bitbucket Server and Data Center<7.6.19
7.7.0 >=Bitbucket Server and Data Center<7.17.12
7.18.0 >=Bitbucket Server and Data Center<7.21.6
7.22.0 >=Bitbucket Server and Data Center<8.0.5
8.1.0 >=Bitbucket Server and Data Center<8.1.5
8.2.0 >=Bitbucket Server and Data Center<8.2.4
8.3.0 >=Bitbucket Server and Data Center<8.3.3
8.4.0 >=Bitbucket Server and Data Center<8.4.2
3、受影响情况:第一名美国4714个,第二名德国1738个,第三名爱尔兰638个
6、技术细节:该漏洞由于Bitbucket Server 和 Data Center中存在命令注入导致,具有用户名控制权限的恶意攻击者可以通过环境变量实现命令注入,导致在系统上执行任意代码。若Bitbucket服务器和数据中心实例启用了“Allow public signup”,未经身份验证的恶意攻击者也能利用此漏洞。
7、修补措施:目前Atlassian官方已发布更新补丁,请受影响用户及时安装更新补丁,官方链接:
https://www.atlassian.com/software/bitbucket/download-archives
临时防护方案:审查当前用户名并限制用户注册
8、漏洞来源:https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.HTML
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论