Kritická bezpečnostní zranitelnost pro Bitbucket Server a DC 8/2022

Bezpečnostní upozornění

29. 8. 2022

Společnost Atlassian vydala upozornění na kritickou bezpečnostní záplatu - zranitelnost se týká Bitbucket Server a Bitbucket Data Center a umožňuje spustit škodlivý kód zasláním příkazu pokud má útočník alespoň práva na čtení v úložišti (i lokálnímu - např. pomocí Bitbucket Mesh) a to i pokud není útočník autorizovaný (v případě veřejně dostupného uložiště). Chyba již může být zneužita. Doporučujeme tedy co nejrychleji povýšit na verze zmíněné níže nebo použít workaround.

  

Bitbucket Server a Data Center

Ovlivněné jsou následující verze:

Všechny verze novější než 6.10.17 (mimo nové verze s opravou viz níže)

  

Mitigace

Je nutné přejít na následující verze pro mitigování zranitelnosti:

7.6.17 (LTS) nebo novější

7.17.10 (LTS) nebo novější

7.21.4 (LTS) nebo novější

8.0.3 nebo novější

8.1.3 nebo novější

8.2.2 nebo novější

8.3.1 nebo novější

  

Verze Cloud nejsou dotčeny touto zranitelností.

  

Bitbucket Mesh

Pokud používáte Bitbucket Mesh, je potřeba povýšit i verzi tohoto nástroje. Na jakou verzi přejít zjistíte v následující tabulce.

  

Bitbucket Data Center version

Mesh version

8.3.1

1.3.1

8.3.0

1.3.0

8.2.2

1.2.2

8.2.1

1.2.1

8.2.0

1.2.0

8.1.3

1.1.5

8.1.2

1.1.4

8.1.0

1.1.0

8.0.3

1.0.5

8.0.2

1.0.4

8.0.0

1.0.0

  

Workaround

K dispozici je pouze částečná mitigace zranitelnosti. Spočívá ve vypnutí veřejných uložišť pro Bitbucket následujícím příkazem: feature.public.access=false. Poté bude možné zranitelnost využít pouze, pokud je útočník autorizovaný.

  

Chcete poradit nebo pomoci s upgradem Bitbucket a nastavením Confluence? Neváhejte se na nás obrátit a kontaktujte nás.

Mohlo by vás zajímat

Zobrazit vše