<legend id="h4sia"></legend><samp id="h4sia"></samp>
<sup id="h4sia"></sup>
<mark id="h4sia"><del id="h4sia"></del></mark>

<p id="h4sia"><td id="h4sia"></td></p><track id="h4sia"></track>

<delect id="h4sia"></delect>
  • <input id="h4sia"><address id="h4sia"></address>

    <menuitem id="h4sia"></menuitem>

    1. <blockquote id="h4sia"><rt id="h4sia"></rt></blockquote>
      <wbr id="h4sia">
    2. <meter id="h4sia"></meter>

      <th id="h4sia"><center id="h4sia"><delect id="h4sia"></delect></center></th>
    3. <dl id="h4sia"></dl>
    4. <rp id="h4sia"><option id="h4sia"></option></rp>

        Versions Compared

        Key

        • This line was added.
        • This line was removed.
        • Formatting was changed.

        描述

        Bitbucket 服务器和数据中心 - 命令注入漏洞 - CVE-2022-36804

        概括
        主题

        CVE-2022-36804 - 命令注入漏洞

        咨询发布日期

        发布日期

        2022 年 8 月 24

        日上午 10 点 PDT(太平洋时间,-7 小时)

        产品

        比特桶服务器
        • BitBucket server

        • Bitbucket

        数据中心
        • DataCenter

        CVE ID

        CVE-2022-36804

        漏洞摘要

        本公告披露了在 Bitbucket

        ...

        Server 和 Data Center 7.0.0 版中引入的严重严重性安全漏洞。在6.10.17之后发布的所有版本(包括 7.0.0 及更高版本)都会受到影响,

        ...

        所有运行7.0.0 和 8.3.0 ( 包括)之间任何版本的实例都会受到此漏洞的影响。

        Bitbucket Server 和 Data Center 的多个 API 端点存在命令注入漏洞。有权访问公共存储库或对私有 Bitbucket 存储库具有 读取 权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

        可以在此处跟踪此问题: Image RemovedBSERV-13438 - 严重严重性命令注入漏洞 - CVE-2022-36804 发表

        ...

        Atlassian Cloud 站点不受影响。

        如果您通过bitbucket.org域访问Bitbucket,它由 Atlassian 托管,您不受该漏洞的影响。

        严重性

        根据 我们在 Atlassian 严重性级别中发布的等级,Atlassian 将此漏洞的严重性级别评为 严重

        ...

        受影响的版本

        ...

        所有运行7.0.0

        ...

        ...

        8.3.0之间的任何版本的实例都会受到此漏洞的影响。

        ...

        修复版本

        支持的版本

        错误修复发布

        Bitbucket 服务器和数据中心 7.6

        7.6.17 ( LTS ) 或更新版本

        Bitbucket 服务器和数据中心 7.17

        7.17.10 ( LTS ) 或更新版本

        Bitbucket 服务器和数据中心 7.21

        7.21.4 ( LTS ) 或更新版本

        Bitbucket 服务器和数据中心 8.0

        8.0.3 或更新版本

        Bitbucket 服务器和数据中心 8.1

        8.1.3 或更新版本

        Bitbucket 服务器和数据中心 8.2

        8.2.2 或更新版本

        Bitbucket 服务器和数据中心 8.3

        8.3.1 或更新版本

        你需要做什么

        Atlassian 建议您将实例升级到同一页面的“固定版本”部分中列出的版本之一。有关最新版本的 Bitbucket 服务器和数据中心的完整说明,

        ...

        如何修复

        建议将实例升级到相应的“修复版本”。

        Bitbucket Mesh

        如果您已配置 Bitbucket Mesh 节点,则需要将这些节点更新为包含该修复程序的相应 Mesh

        ...

        版本。可以查看兼容性矩阵

        ...

        如果您不确定您的 Bitbucket 实例是否配置了 Bitbucket Mesh,作为具有系统管理权限的用户导航到Administration > Bitbucket Mesh,此页面将列出每个需要升级的 Mesh 节点。

        如果列表为空,则您的实例未配置 Mesh,不需要此额外步骤。

        临时解决方案

        ...

        要修复此漏洞,请将每个受影响的产品安装更新为上面列出的固定版本。

        ...

        如果无法升级 Bitbucket,可以临时进行解决,方案如下

        在bitbucket.properties文件中增加以下参数

        feature.public.access=false

        ...

         

        然后重新 启动Confluence



        https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html