- Atlassian 修复了其 Bitbucket Server 和 Data Center 产品中自 7.0.0 以来所有版本及其 Crowd Server 和 Data Center 3.0.0 软件中存在的两个缺陷。
- 这两个跟踪的漏洞在 CVSS 漏洞评分系统中的评分为 9 分(满分 10 分),Atlassian 在相关公告中将这些漏洞的严重性级别评为关键。
- Atlassian 敦促其用户将每个受影响的产品安装更新到固定版本。该公司已在这两个缺陷的公告中列出了修复版本。
澳大利亚软件公司Atlassian发布了两个安全更新,以修复其身份管理平台 Crowd Server 和 Data Center 中的严重缺陷,以及 Bitbucket Server 和 Data Center 中为专业团队提供源代码协作的自我管理解决方案。
两者都被评为 CVSS 9.0
这些漏洞被跟踪为 Bitbucket 服务器和数据中心的CVE-2022-43781 ,以及 Crowd 服务器和数据中心的 CVE-2022-43782。在 CVSS 漏洞评分系统中,它们都被评为 9 分(满分 10 分)。在 Bitbucket 服务器和 Datacenter 中,Atlassian 修复了一个严重的命令注入漏洞,如果在bitbucket.properties中将 mesh.enabled设置为false ,该漏洞会影响所有版本 7.0 到 7.21 以及版本 8.0 到 8.4 。该咨询将错误解释为;
« 在 Bitbucket Server 和 Data Center 中存在使用环境变量的命令注入漏洞。有权控制其用户名的攻击者可以利用此问题获得代码执行并在系统上执行代码。»
该软件公司建议其用户将每个受影响的产品安装升级到固定版本或任何更新版本。如果用户无法更新受影响的产品,临时缓解措施可以是禁用“公共注册”。根据公告中的声明,禁用公共注册会将攻击媒介从未经身份验证的攻击更改为经过身份验证的攻击,从而降低被利用的风险。要禁用此设置,请转至管理>身份验证并清除允许公共注册复选框。但是,补充说这应该是一个临时解决方案,因为ADMIN或SYS_ADMIN当公共注册被禁用时,经过身份验证的用户仍然可以利用该漏洞。该公司表示 Atlassian Cloud 站点不受影响。
只有新安装的 Crowd 受到影响
该漏洞是在 Crowd Server 版本 3.0.0 中引入的,已被评为严重。它会影响 3.0.0 之后发布的所有版本,但前提是满足以下两个条件;
- 该漏洞仅涉及 受影响版本的新安装 :如果您从早期版本(例如 2.9.1 版)升级到 3.0.0 版或更高版本,您的实例不会受到影响。
- 众包应用Remote Address配置增加了IP地址( 3.0.0后版本默认无)
该公司将该错误解释为一个缺陷, 允许攻击者从允许列表中的 IP 连接,通过绕过密码检查来验证为人群应用程序。这将允许攻击者 在用户管理路径下调用 Crowd 的REST API中的特权端点。它是在内部安全审查期间发现的。Atlassian 建议将实例升级到其中一个固定版本。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Atlassian修补了Crowd和Bitbucket中的两个严重缺陷
