Atlassian bir için düzeltmeler yayınladı kritik güvenlik açığı Güvenlik açığı bulunan kurulumlarda kötü amaçlı kodun yürütülmesine yol açabilecek Bitbucket Sunucusu ve Veri Merkezi’nde.
olarak izlendi CVE-2022-36804 (CVSS puanı: 9.9), sorun, özel hazırlanmış HTTP istekleri aracılığıyla kullanılabilecek birden çok uç noktada bir komut enjeksiyon güvenlik açığı olarak nitelendirilmiştir.
Atlassian, “Genel bir Bitbucket deposuna erişimi olan veya özel bir depoya okuma izinleri olan bir saldırgan, kötü niyetli bir HTTP isteği göndererek rastgele kod yürütebilir.” söz konusu bir danışma belgesinde.
Güvenlik araştırmacısı tarafından keşfedilen ve rapor edilen eksiklik @TheGrandPew 7.0.0 ve daha yeni sürümler dahil, 6.10.17’den sonra yayınlanan tüm Bitbucket Server ve Datacenter sürümlerini etkiler –
- Bitbucket Sunucusu ve Veri Merkezi 7.6
- Bitbucket Sunucusu ve Veri Merkezi 7.17
- Bitbucket Sunucusu ve Veri Merkezi 7.21
- Bitbucket Sunucusu ve Veri Merkezi 8.0
- Bitbucket Sunucusu ve Veri Merkezi 8.1
- Bitbucket Sunucusu ve Veri Merkezi 8.2 ve
- Bitbucket Sunucusu ve Veri Merkezi 8.3
Atlassian, yamaların hemen uygulanamadığı senaryolarda geçici bir çözüm olarak, yetkisiz kullanıcıların kusurdan yararlanmasını önlemek için “feature.public.access=false” kullanarak genel depoların kapatılmasını önermektedir.
“Bu, bir kullanıcı hesabına sahip bir saldırgan hala başarılı olabileceğinden, tam bir azaltma olarak kabul edilemez,” diye uyardı, yani başka yollarla elde edilmiş geçerli kimlik bilgilerine zaten sahip olan tehdit aktörleri tarafından kullanılabilir.
Yazılımın etkilenen sürümlerinin kullanıcılarının, olası tehditleri azaltmak için örneklerini mümkün olan en kısa sürede en son sürüme yükseltmeleri önerilir.