时间:2022-11-21 作者:奇安信CERT
奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
安全通告
AtlassianBitbucketServer是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。AtlassianBitbucketDataCenter是AtlassianBitbucket的数据中心版本。
近日,奇安信CERT监测到AtlassianBitbucketServerandDataCenter中存在命令注入漏洞(CVE-2022-43781),拥有其用户名控制权限的攻击者可利用环境变量进行命令注入,成功利用此漏洞的远程攻击者可在目标机器上执行任意命令。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
威胁评估
处置建议
1、安全升级
目前Atlassian官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。
https://www.atlassian.com/software/bitbucket/download-archives
2、缓解方案
禁用公共注册:管理->身份验证,取消允许公开注册复选框。
禁用公开注册将攻击向量从未经身份验证的攻击更改为经过身份验证的攻击,从而降低利用风险。
当公开注册被禁用时,通过ADMIN或SYS_ADMIN身份验证的用户仍然可以利用该漏洞。因此,此缓解措施应视为临时步骤,建议客户尽快升级到已修复版本。
注:运行PostgreSQL的BitbucketServer和DataCenter实例不受此漏洞影响。
参考资料
[1]https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html
[2]https://www.atlassian.com/software/bitbucket/download-archives
时间线
2022年11月21日,奇安信CERT发布安全风险通告。
到奇安信NOX-安全监测平台查询更多漏洞详情
95015服务热线
微信公众号