Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере

19.11.2022 11:07

В Bitbucket Server, проприетарном пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-43781), позволяющая удалённому атакующему добиться выполнения кода на сервере. Уязвимость может быть эксплуатирована неаутентифицированным пользователем, если на сервере разрешена самостоятельная регистрация (включена настройка "Allow public signup"). Эксплуатация также возможна аутентифицированным пользователем у которого есть права на изменение имени пользователя (т.е. есть полномочия ADMIN или SYS_ADMIN). Детали пока не приводится, известно только то, что проблема вызвана возможностью подстановки команд через переменные окружения.

Проблема проявляется в ветках 7.x и 8.x, и устранена в выпусках Bitbucket Server и Bitbucket Data Center 8.5.0, 8.4.2, 7.17.12, 7.21.6, 8.0.5, 8.1.5, 8.3.3, 8.2.4, 7.6.19. Уязвимость не проявляется в облачном сервисе bitbucket.org, а затрагивает только продукты для установки на своих мощностях. Проблема также не проявляется на серверах Bitbucket Server и Data Center, в которых для хранения данных используется СУБД PostgreSQL.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/58151-bitbucket

Ключевые слова: bitbucket

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (15)

1.1, Аноним (1), 11:21, 19/11/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–2 +/–

2.3, Аноним (3), 11:23, 19/11/2022 Скрыто ботом-модератором [к модератору]	+5 +/–

1.2, Аноним (2), 11:21, 19/11/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Давайте айпишники ваших серверов, я покажу как надо выполнять код.

2.4, pashev.ru (?), 11:27, 19/11/2022 [^] [^^] [^^^] [ответить]	+8 +/–
127.0.0.1

3.7, Аноним (7), 13:58, 19/11/2022 [^] [^^] [^^^] [ответить]	+2 +/–
По этому адресу нет ведра битов

2.8, КО (?), 14:06, 19/11/2022 [^] [^^] [^^^] [ответить]	+3 +/–
https://rr.noordstar.me/mybitbucket-3c89559f

3.15, Аноним (15), 19:54, 20/11/2022 [^] [^^] [^^^] [ответить]	+/–
рикролл. я уже не в первый раз читаю про проприетарные уязвимости в битбукете

1.5, Анонн (?), 12:34, 19/11/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Неприятно конечно, но необходимость полномочий "ADMIN или SYS_ADMIN" немного уменьшают вероятность взлома.

1.6, Бывалый смузихлёб (?), 13:31, 19/11/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> Уязвимость не проявляется в облачном сервисе bitbucket.org так это не уязвимость а дыра

1.9, Аномин (?), 15:55, 19/11/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе. Эксплойты на них работать не будут.

2.10, Аноним (-), 17:18, 19/11/2022 [^] [^^] [^^^] [ответить]	–3 +/–
На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крутить филейной частью над домом культуры вечером. Бери, не хочу...

2.11, Аноним42 (?), 20:49, 19/11/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Вращай на гайке! Неуловимый джо

2.13, Аноним (13), 22:03, 19/11/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Вращали бы, да софта под бсд раз, два и обчёлся. Индустрия сделала свой выбор.

1.12, Аноним (13), 21:59, 19/11/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> затрагивает только продукты для установки на своих мощностях Т.е. в опасности только 3½ унылых энтерпрайз-клиента, у которых всё в ланчике с айпишничками на десяточку за натами и фаерволлами, и доступом только через vpn, даже из интранета. Ой-вей.

1.16, Аноним (16), 21:46, 23/11/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окружения. Но они смогли это.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: