Kritická bezpečnostní zranitelnost pro Bitbucket Server a DC 8/2022
Společnost Atlassian vydala upozornění na kritickou bezpečnostní záplatu - zranitelnost se týká Bitbucket Server a Bitbucket Data Center a umožňuje spustit škodlivý kód zasláním příkazu pokud má útočník alespoň práva na čtení v úložišti (i lokálnímu - např. pomocí Bitbucket Mesh) a to i pokud není útočník autorizovaný (v případě veřejně dostupného uložiště). Chyba již může být zneužita. Doporučujeme tedy co nejrychleji povýšit na verze zmíněné níže nebo použít workaround.
Bitbucket Server a Data Center
Ovlivněné jsou následující verze:
Všechny verze novější než 6.10.17 (mimo nové verze s opravou viz níže)
Mitigace
Je nutné přejít na následující verze pro mitigování zranitelnosti:
7.6.17 (LTS) nebo novější
7.17.10 (LTS) nebo novější
7.21.4 (LTS) nebo novější
8.0.3 nebo novější
8.1.3 nebo novější
8.2.2 nebo novější
8.3.1 nebo novější
Verze Cloud nejsou dotčeny touto zranitelností.
Bitbucket Mesh
Pokud používáte Bitbucket Mesh, je potřeba povýšit i verzi tohoto nástroje. Na jakou verzi přejít zjistíte v následující tabulce.
Bitbucket Data Center version |
Mesh version |
8.3.1 |
1.3.1 |
8.3.0 |
1.3.0 |
8.2.2 |
1.2.2 |
8.2.1 |
1.2.1 |
8.2.0 |
1.2.0 |
8.1.3 |
1.1.5 |
8.1.2 |
1.1.4 |
8.1.0 |
1.1.0 |
8.0.3 |
1.0.5 |
8.0.2 |
1.0.4 |
8.0.0 |
1.0.0 |
Workaround
K dispozici je pouze částečná mitigace zranitelnosti. Spočívá ve vypnutí veřejných uložišť pro Bitbucket následujícím příkazem: feature.public.access=false. Poté bude možné zranitelnost využít pouze, pokud je útočník autorizovaný.
Chcete poradit nebo pomoci s upgradem Bitbucket a nastavením Confluence? Neváhejte se na nás obrátit a kontaktujte nás.
Sdílejte