Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

描述

Bitbucket 服务器和数据中心 - 命令注入漏洞 - CVE-2022-36804

概括

CVE-2022-36804 - 命令注入漏洞

咨询发布日期

2022 年 8 月 24 日上午 10 点 PDT(太平洋时间,-7 小时)

产品

  • 比特桶服务器

  • Bitbucket 数据中心

CVE ID

CVE-2022-36804

漏洞摘要

本公告披露了在 Bitbucket 服务器和数据中心 7.0.0 版中引入的严重严重性安全漏洞。在6.10.17之后发布的所有版本(包括 7.0.0 及更高版本)都会受到影响,

这意味着所有运行7.0.0 和 8.3.0 ( 包括)之间任何版本的实例都会受到此漏洞的影响。

Bitbucket Server 和 Data Center 的多个 API 端点存在命令注入漏洞。有权访问公共存储库或对私有 Bitbucket 存储库具有 读取 权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

可以在此处跟踪此问题: Image AddedBSERV-13438 - 严重严重性命令注入漏洞 - CVE-2022-36804 发表

Atlassian Cloud 站点不受影响。

如果您通过bitbucket.org域访问Bitbucket,它由 Atlassian 托管,您不受该漏洞的影响。

严重性

根据 我们在 Atlassian 严重性级别中发布的等级,Atlassian 将此漏洞的严重性级别评为 严重。该量表允许我们将严重程度分为严重、高、中或低。

这是我们的评估,您应该评估它对您自己的 IT 环境的适用性。

受影响的版本

包括 7.0.0 和更高版本在内的 6.10.17 之后发布的所有 Bitbucket Server 和 Datacenter 版本都会受到影响,这意味着所有运行7.0.0 和 8.3.0之间的任何版本的实例都会受到此漏洞的影响。

固定版本

支持的版本

错误修复发布

Bitbucket 服务器和数据中心 7.6

7.6.17 ( LTS ) 或更新版本

Bitbucket 服务器和数据中心 7.17

7.17.10 ( LTS ) 或更新版本

Bitbucket 服务器和数据中心 7.21

7.21.4 ( LTS ) 或更新版本

Bitbucket 服务器和数据中心 8.0

8.0.3 或更新版本

Bitbucket 服务器和数据中心 8.1

8.1.3 或更新版本

Bitbucket 服务器和数据中心 8.2

8.2.2 或更新版本

Bitbucket 服务器和数据中心 8.3

8.3.1 或更新版本

你需要做什么

Atlassian 建议您将实例升级到同一页面的“固定版本”部分中列出的版本之一。有关最新版本的 Bitbucket 服务器和数据中心的完整说明,

请参阅发行说明。您可以从下载中心下载最新版本的 Bitbucket 。有关常见问题 (FAQ) ,请单击此处

Bitbucket Mesh

如果您已配置 Bitbucket Mesh 节点,则需要将这些节点更新为包含该修复程序的相应 Mesh 版本。要查找与 Bitbucket Data Center 版本兼容的 Mesh 版本,请查看兼容性矩阵您可以从下载中心下载相应的版本。

如果您不确定您的 Bitbucket 实例是否配置了 Bitbucket Mesh,作为具有系统管理权限的用户导航到Administration > Bitbucket Mesh,此页面将列出每个需要升级的 Mesh 节点。

如果列表为空,则您的实例未配置 Mesh,不需要此额外步骤。

临时解决方案

要修复此漏洞,请将每个受影响的产品安装更新为上面列出的固定版本。

如果您无法升级 Bitbucket,临时缓解步骤是通过设置feature.public.access=false   全局关闭公共存储库,因为这会将攻击向量从未经授权的攻击更改为授权攻击。

这不能被视为完全缓解,因为拥有用户帐户的攻击者仍然可以成功。



https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html