溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家介紹如何進行Bitbucket服務與數據中心遠程代碼執行漏洞通告,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
2020年1月17日,360CERT監測到2020年1月15日Bitbucket官方發布了安全通告,其中包含三個遠程代碼執行漏洞,漏洞等級嚴重。
Bitbucket是ATLASSIAN公司提供的一個基于web的版本庫托管服務,支持Mercurial和Git版本控制系統。此次安全通告公開了3個遠程代碼執行漏洞:
CVE-2019-15010
CVE-2019-20097
CVE-2019-15012
攻擊者可以通過構造特定的攻擊載荷利用以上漏洞進行攻擊,攻擊利用成功時可以在受害者的Bitbucket服務器或數據中心上執行任意命令。
360CERT判斷漏洞等級為高,危害面/影響面廣。建議使用Bitbucket Server和Data Center的用戶及時安裝最新補丁,以免遭受黑客攻擊。
此漏洞影響從3.0.0開始的Bitbucket Server和Data Center產品。攻擊者可以利用具有用戶級別權限的賬戶構造惡意的攻擊載荷作為用戶輸入進行遠程攻擊。成功利用時攻擊者可以在受害者的Bitbucket Server或Data Center實例上執行任意命令。
此漏洞影響從1.0.0開始的Bitbucket Server和Data Center產品。當攻擊者具有克隆文件并可以將文件推送到受害者Bitbucket Server和Data Center實例的權限時,通過將包含特制內容的文件推送到受害者實例上來利用此漏洞。成功利用時攻擊者可以在受害者的Bitbucket Server或Data Center實例上執行任意命令。
此漏洞影響Bitbucket Server和Data Center高于或等于4.13的版本。當攻擊者具有某個項目倉庫的寫權限時,可以通過在以寫權限運行的Bitbucket Server和Data Center實例上寫入任意文件。在某些情況下可能會造成遠程代碼執行,從而造成任意命令執行。
| CVE編號 | 受影響版本 |
|---|---|
| CVE-2019-15010 | version 3.x.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1 |
| CVE-2019-20097 | version 1.x.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1 |
| CVE-2019-15012 | version 4.13.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1 |
1.將Bitbucket Server或Data Center升級到最新版本(6.9.1),可以從官方網站下載最新版本:
https://www.atlassian.com/software/bitbucket/download
2.如無法升級到最新版本,可以根據現有版本升級到以下包含漏洞補丁的版本:
| 當前版本 | 對應漏洞修復版本 |
|---|---|
| 1.xx,2.xx,3.xx,4.xx或5.xx | 5.16.11 |
| 6.0.x | 6.0.11 |
| 6.1.x | 6.1.9 |
| 6.2.x | 6.2.7 |
| 6.3.x | 6.3.6 |
| 6.4.x | 6.4.4 |
| 6.5.x | 6.5.3 |
| 6.6.x | 6.6.3 |
| 6.7.x | 6.7.3 |
| 6.8.x | 6.8.2 |
漏洞修復版本可以從此地址下載:
https://www.atlassian.com/software/bitbucket/download-archives
如果無法立即升級Bitbucket Server和Data Center對于CVE-2019-15012,可以按照以下步驟禁用編輯文件功能:
在bitbucket.properties中,
設置feature.file.editor=false
對于CVE-2019-15010或CVE-2019-20097沒有已知的解決方法,因此請盡快升級版本。
關于如何進行Bitbucket服務與數據中心遠程代碼執行漏洞通告就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
