最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Atlassian修复了Bitbucket Server中的关键命令注入错误

网络安全 快米云 来源:快米云 15浏览

阿特拉斯

Atlassian 已发布更新,以解决其集中式身份管理平台 Crowd Server 和 Data Center 以及该公司的 Git 存储库管理解决方案 Bitbucket Server 和 Data Center 中的严重更新。

这两个安全漏洞的严重等级均为 9 分(满分 10 分)(由 Atlassian 计算),并影响产品的多个版本。

人群配置错误

Crowd Server 和 Data Center 中的问题被评为严重,被跟踪为 CVE-2022-43782 并且是一个错误配置,允许攻击者在验证为 Crowd 应用程序时绕过密码检查并调用特权 API 端点。

该问题是在产品的 3.0 版本中引入的,不影响从以前版本(如 2.9.1)的升级。

Atlassian 解释说,在某些条件下,利用是可能的。其中之一是更改远程地址配置以包含允许的 IP 地址,与默认设置(无)不同。

“这将允许攻击者在用户管理路径下调用 Crowd 的 REST API 中的特权端点,”Atlassian 在一份安全公告中指出。

该问题影响 Crowd 版本 3.0.0 至 3.7.2、4.0.0 至 4.4.3 以及 5.0.0 至 5.0.2。Crowd 5.0.3 和 4.4.4 不受影响。

Atlassian 将不会修复产品 3.0.0 版中的缺陷,因为它已达到生命周期和支持的终点。

该安全公告为管理员提供了详细的说明,以检查实例是否已被破坏以及在这种情况下应遵循的步骤。

Bitbucket 漏洞详情

影响 Bitbucket Server 和 Data Center 的缺陷是在该产品的 7.0 版中引入的,并被识别为 CVE-2022-43781。这是一个命令注入漏洞,允许具有控制其用户名权限的攻击者在特定条件下在目标系统上执行代码。

从 7.0 到 7.21 的所有版本,无论其配置如何,以及 8.0 到 8.4 版本都会受到影响,其中“mesh.enabled”功能在“bitbucket.properties”下被禁用。

CVE-2022-43781 不影响运行 PostgreSQL 的实例和由 Atlassian 托管的实例(通过 bitbucket.org 域访问)。

解决问题的版本是:

  • 7.6.19 或更新版本
  • 7.17.12 或更新版本
  • 7.21.6 或更新版本
  • 8.0.5 或更新版本
  • 8.1.5 或更新版本
  • 8.2.4 或更高版本
  • 8.3.3 或更新版本
  • 8.4.2 或更新版本
  • 8.5.0 或更新版本

无法升级到固定版本的用户应禁用“公共注册”,这将要求攻击者使用有效凭据进行身份验证,从而降低被利用的风险。

安全公告指出, ADMIN 和 SYS_ADMIN 用户仍然可以在此配置下利用该漏洞,因此应将其视为临时缓解措施。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Atlassian修复了Bitbucket Server中的关键命令注入错误