如何進行Bitbucket服務(wù)與數(shù)據(jù)中心遠程代碼執(zhí)行漏洞通告

發(fā)布時間：2021-12-23 17:19:24 來源：億速云閱讀：206 作者：柒染欄目：大數(shù)據(jù)

這篇文章給大家介紹如何進行Bitbucket服務(wù)與數(shù)據(jù)中心遠程代碼執(zhí)行漏洞通告，內(nèi)容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

0x00 漏洞背景

2020年1月17日，360CERT監(jiān)測到2020年1月15日Bitbucket官方發(fā)布了安全通告，其中包含三個遠程代碼執(zhí)行漏洞，漏洞等級嚴(yán)重。

Bitbucket是ATLASSIAN公司提供的一個基于web的版本庫托管服務(wù)，支持Mercurial和Git版本控制系統(tǒng)。此次安全通告公開了3個遠程代碼執(zhí)行漏洞：

CVE-2019-15010
CVE-2019-20097
CVE-2019-15012

攻擊者可以通過構(gòu)造特定的攻擊載荷利用以上漏洞進行攻擊，攻擊利用成功時可以在受害者的Bitbucket服務(wù)器或數(shù)據(jù)中心上執(zhí)行任意命令。

360CERT判斷漏洞等級為高，危害面/影響面廣。建議使用Bitbucket Server和Data Center的用戶及時安裝最新補丁，以免遭受黑客攻擊。

0x01 漏洞詳情

1. CVE-2019-15010

此漏洞影響從3.0.0開始的Bitbucket Server和Data Center產(chǎn)品。攻擊者可以利用具有用戶級別權(quán)限的賬戶構(gòu)造惡意的攻擊載荷作為用戶輸入進行遠程攻擊。成功利用時攻擊者可以在受害者的Bitbucket Server或Data Center實例上執(zhí)行任意命令。

2. CVE-2019-20097

此漏洞影響從1.0.0開始的Bitbucket Server和Data Center產(chǎn)品。當(dāng)攻擊者具有克隆文件并可以將文件推送到受害者Bitbucket Server和Data Center實例的權(quán)限時，通過將包含特制內(nèi)容的文件推送到受害者實例上來利用此漏洞。成功利用時攻擊者可以在受害者的Bitbucket Server或Data Center實例上執(zhí)行任意命令。

3. CVE-2019-15012

此漏洞影響B(tài)itbucket Server和Data Center高于或等于4.13的版本。當(dāng)攻擊者具有某個項目倉庫的寫權(quán)限時，可以通過在以寫權(quán)限運行的Bitbucket Server和Data Center實例上寫入任意文件。在某些情況下可能會造成遠程代碼執(zhí)行，從而造成任意命令執(zhí)行。

0x02 影響版本

CVE編號	受影響版本
CVE-2019-15010	version 3.x.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1
CVE-2019-20097	version 1.x.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1
CVE-2019-15012	version 4.13.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1

CVE編號

受影響版本

CVE-2019-15010

version 3.x.x < 5.16.11

version 6.0.x < 6.0.11

version 6.1.x < 6.1.9

version 6.2.x < 6.2.7

version 6.3.x < 6.3.6

version 6.4.x < 6.4.4

version 6.5.x < 6.5.3

version 6.6.x < 6.6.3

version 6.7.x < 6.7.3

version 6.8.x < 6.8.2

version 6.9.x < 6.9.1

CVE-2019-20097

version 1.x.x < 5.16.11

version 6.0.x < 6.0.11

version 6.1.x < 6.1.9

version 6.2.x < 6.2.7

version 6.3.x < 6.3.6

version 6.4.x < 6.4.4

version 6.5.x < 6.5.3

version 6.6.x < 6.6.3

version 6.7.x < 6.7.3

version 6.8.x < 6.8.2

version 6.9.x < 6.9.1

CVE-2019-15012

version 4.13.x < 5.16.11

version 6.0.x < 6.0.11

version 6.1.x < 6.1.9

version 6.2.x < 6.2.7

version 6.3.x < 6.3.6

version 6.4.x < 6.4.4

version 6.5.x < 6.5.3

version 6.6.x < 6.6.3

version 6.7.x < 6.7.3

version 6.8.x < 6.8.2

version 6.9.x < 6.9.1

0x03 修復(fù)建議

通用修補建議

1.將Bitbucket Server或Data Center升級到最新版本（6.9.1），可以從官方網(wǎng)站下載最新版本：

https://www.atlassian.com/software/bitbucket/download

2.如無法升級到最新版本，可以根據(jù)現(xiàn)有版本升級到以下包含漏洞補丁的版本：

當(dāng)前版本	對應(yīng)漏洞修復(fù)版本
1.xx，2.xx，3.xx，4.xx或5.xx	5.16.11
6.0.x	6.0.11
6.1.x	6.1.9
6.2.x	6.2.7
6.3.x	6.3.6
6.4.x	6.4.4
6.5.x	6.5.3
6.6.x	6.6.3
6.7.x	6.7.3
6.8.x	6.8.2

漏洞修復(fù)版本可以從此地址下載：

https://www.atlassian.com/software/bitbucket/download-archives

臨時修復(fù)方案

如果無法立即升級Bitbucket Server和Data Center對于CVE-2019-15012，可以按照以下步驟禁用編輯文件功能：

在bitbucket.properties中，

設(shè)置feature.file.editor=false

對于CVE-2019-15010或CVE-2019-20097沒有已知的解決方法，因此請盡快升級版本。

關(guān)于如何進行Bitbucket服務(wù)與數(shù)據(jù)中心遠程代碼執(zhí)行漏洞通告就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

向AI問一下細節(jié)

如何進行Bitbucket服務(wù)與數(shù)據(jù)中心遠程代碼執(zhí)行漏洞通告

0x00 漏洞背景

0x01 漏洞詳情

1. CVE-2019-15010

2. CVE-2019-20097

3. CVE-2019-15012

0x02 影響版本

0x03 修復(fù)建議

通用修補建議

臨時修復(fù)方案

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽