描述
Bitbucket 服务器和数据中心 - 命令注入漏洞 - CVE-2022-36804
概括 | CVE-2022-36804 - 命令注入漏洞 |
|---|---|
咨询发布日期 | 2022 年 8 月 24 日上午 10 点 PDT(太平洋时间,-7 小时) |
产品 |
|
CVE ID |
漏洞摘要
本公告披露了在 Bitbucket 服务器和数据中心 7.0.0 版中引入的严重严重性安全漏洞。在6.10.17之后发布的所有版本(包括 7.0.0 及更高版本)都会受到影响,
这意味着所有运行7.0.0 和 8.3.0 ( 包括)之间任何版本的实例都会受到此漏洞的影响。
Bitbucket Server 和 Data Center 的多个 API 端点存在命令注入漏洞。有权访问公共存储库或对私有 Bitbucket 存储库具有 读取 权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。
可以在此处跟踪此问题: BSERV-13438 - 严重严重性命令注入漏洞 - CVE-2022-36804 发表
Atlassian Cloud 站点不受影响。 如果您通过bitbucket.org域访问Bitbucket,它由 Atlassian 托管,您不受该漏洞的影响。 |
严重性
根据 我们在 Atlassian 严重性级别中发布的等级,Atlassian 将此漏洞的严重性级别评为 严重。该量表允许我们将严重程度分为严重、高、中或低。
这是我们的评估,您应该评估它对您自己的 IT 环境的适用性。
受影响的版本
包括 7.0.0 和更高版本在内的 6.10.17 之后发布的所有 Bitbucket Server 和 Datacenter 版本都会受到影响,这意味着所有运行7.0.0 和 8.3.0之间的任何版本的实例都会受到此漏洞的影响。
固定版本
支持的版本 | 错误修复发布 |
|---|---|
7.6.17 ( LTS ) 或更新版本 | |
7.17.10 ( LTS ) 或更新版本 | |
7.21.4 ( LTS ) 或更新版本 | |
8.0.3 或更新版本 | |
8.1.3 或更新版本 | |
8.2.2 或更新版本 | |
8.3.1 或更新版本 |
你需要做什么
Atlassian 建议您将实例升级到同一页面的“固定版本”部分中列出的版本之一。有关最新版本的 Bitbucket 服务器和数据中心的完整说明,
请参阅发行说明。您可以从下载中心下载最新版本的 Bitbucket 。有关常见问题 (FAQ) ,请单击此处。
Bitbucket Mesh
如果您已配置 Bitbucket Mesh 节点,则需要将这些节点更新为包含该修复程序的相应 Mesh 版本。要查找与 Bitbucket Data Center 版本兼容的 Mesh 版本,请查看兼容性矩阵。您可以从下载中心下载相应的版本。
如果您不确定您的 Bitbucket 实例是否配置了 Bitbucket Mesh,作为具有系统管理权限的用户导航到Administration > Bitbucket Mesh,此页面将列出每个需要升级的 Mesh 节点。
如果列表为空,则您的实例未配置 Mesh,不需要此额外步骤。
临时解决方案
要修复此漏洞,请将每个受影响的产品安装更新为上面列出的固定版本。
如果您无法升级 Bitbucket,临时缓解步骤是通过设置feature.public.access=false 全局关闭公共存储库,因为这会将攻击向量从未经授权的攻击更改为授权攻击。
这不能被视为完全缓解,因为拥有用户帐户的攻击者仍然可以成功。