如果您甚至提供 repo 读取访问权限,请获取并部署此后端更新
Atlassian Bitbucket Server 和 Data Center 的多个 API 端点中的一个关键命令注入漏洞可能允许未经授权的攻击者远程执行恶意软件,并查看、更改甚至删除存储在存储库中的数据。
Atlassian 已修复软件版本 7.0.0 到 8.3.0 中存在的安全漏洞,包括在内。幸运的是,在野外没有已知的漏洞利用。
但是考虑到这个漏洞,被跟踪为CVE-2022-36804,在严重性方面收到了 9.9 分(满分 10 分),我们建议您停止您正在做的事情并尽快更新,因为可以安全地假设不法分子是已经在扫描易受攻击的实例。
正如 Atlassian 在其上周中旬发布的安全公告中解释的那样:“有权访问公共存储库或对私有 Bitbucket 存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。”
此外,互联网安全中心已将该漏洞标记为各种规模的企业和政府实体的“高”安全风险。这些机构通常使用 Bitbucket 来管理 Git 存储库中的源代码。
Atlassian 建议组织将其实例升级到固定版本,并且那些配置了 Bitbucket Mesh 节点的组织也需要更新这些实例。有一个兼容性矩阵可帮助用户找到与 Bitbucket Data Center 版本兼容的 Mesh 版本。
如果您需要推迟 Bitbucket 更新,Atlassian 建议在全球范围内关闭公共存储库作为临时缓解措施。这会将攻击向量从未经授权的攻击更改为授权的攻击。然而,根据公告,“这不能被视为完全缓解,因为拥有用户帐户的攻击者仍然可以成功”。
安全研究员@TheGrandPew通过 Atlassian 的漏洞赏金计划发现并报告了该漏洞。
这个最新的错误发生在这家流行的企业协作软件制造商的一系列热门产品之后。
上个月,Atlassian警告其 Bamboo、Bitbucket、Confluence、Fisheye、Crucible 和 Jira 产品的用户,一对已有多年历史的严重缺陷威胁到他们的安全。它在7 月份的安全更新中详细介绍了所谓的 Servlet Filter 调度程序漏洞,并表示该漏洞允许远程、未经身份验证的攻击者绕过第三方应用程序使用的身份验证。
6 月,Atlassian发现了 Confluence中另一个受到主动攻击的严重缺陷。
此外,今年春天还发生了为期两周的令人尴尬的云中断,影响了近 800 名客户。这还不到公司总客户的 0.5%,但正如联合创始人兼联合首席执行官 Mike Cannon-Brookes在公司最近的财报电话会议上所承认的那样,“一个客户太多了”。而且绝对不是云协作业务的好外观。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Atlassian Bitbucket中的关键漏洞允许任何不法分子劫持服务器
