URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129000
[ Назад ]
Исходное сообщение
"Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере "
Отправлено opennews , 19-Ноя-22 11:21 
В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-43781), позволяющая удалённому атакующему добиться выполнения кода на сервере. Уязвимость может быть эксплуатирована неутентифицированным пользователем, если на сервере разрешена самостоятельная регистрация (включена настройка "Allow public signup"). Эксплуатация также возможна аутентифицированным пользователем у которого есть права на изменение имени пользователя (т.е. есть полномочия ADMIN или SYS_ADMIN). Детали пока не приводится, известно только то, что проблема вызвана возможностью подстановки команд через переменные окружения...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58151

Содержание
Сообщения в этом обсуждении
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 19-Ноя-22 11:21 
А на расте такой херни не было...
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 19-Ноя-22 11:23 
потому шта полковнику никто не пишет, особенно на нём
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 19-Ноя-22 11:21 
Давайте айпишники ваших серверов, я покажу как надо выполнять код.
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено pashev.ru , 19-Ноя-22 11:27 
127.0.0.1
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 19-Ноя-22 13:58 
По этому адресу нет ведра битов
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено КО , 19-Ноя-22 14:06 
https://rr.noordstar.me/mybitbucket-3c89559f
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 20-Ноя-22 19:54 
рикролл.
я уже не в первый раз читаю про проприетарные уязвимости в битбукете
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Анонн , 19-Ноя-22 12:34 
Неприятно конечно, но необходимость полномочий "ADMIN или SYS_ADMIN" немного уменьшают вероятность взлома.
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Бывалый смузихлёб , 19-Ноя-22 13:31 
> Уязвимость не проявляется в облачном сервисе bitbucket.org

так это не уязвимость а дыра

"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аномин , 19-Ноя-22 15:55 
Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе. Эксплойты на них работать не будут.
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 19-Ноя-22 17:18 
На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крутить филейной частью над домом культуры вечером. Бери, не хочу...
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним42 , 19-Ноя-22 20:49 
Вращай на гайке! Неуловимый джо
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 19-Ноя-22 22:03 
Вращали бы, да софта под бсд раз, два и обчёлся. Индустрия сделала свой выбор.
"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 19-Ноя-22 21:59 
> затрагивает только продукты для установки на своих мощностях

Т.е. в опасности только 3½ унылых энтерпрайз-клиента, у которых всё в ланчике с айпишничками на десяточку за натами и фаерволлами, и доступом только через vpn, даже из интранета. Ой-вей.

"Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."
Отправлено Аноним , 23-Ноя-22 21:46 
Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окружения. Но они смогли это.