Alvarlegur veikleiki í Bitbucket Server og Bitbucket Data Center frá Atlassian

2. september 2022

Atlassian gaf út tilkynningu þann 24. ágúst um alvarlegan veikleika í Bitbucket Server og Bitbucket Data Center [1]. 

Misnotkun á veikleikanum gerir ógnaraðila kleift að keyra skipanir með því að senda skaðlegar (e. malicious) HTTP beiðnir. 

Til að misnota veikleikann þarf ógnaraðili að hafa aðgang: 
 - Opnu (e. public) Bitbucket repository, eða 
 - Lesaðgang að lokuðu (e. private) Bitbucket repository

Veikleikinn hefur fengið auðkennið CVE-2022-36804 og Atlassian hefur gefið veikleikanum CVSS skor 9.9 [2]. 

Eftirfarandi útgáfur af hugbúnaðinum eru veikar fyrir gallanum: 
 - Allar útgáfur af Bitbucket server frá og með 6.10.17 og síðar að meðtöldum útgáfum 7.0.0 til 8.3.0)  
 - Allar útgáfur af Bitbucket Data Center frá og með 6.10.17 og síðar að meðtöldum útgáfum 7.0.0 til 8.3.0)  

CERT-IS mælir með að uppfæra án tafa í eftirfarandi útgáfur: 
 - Útgáfa 7.6: uppfærið í útgáfu 7.6.17 (LTS) eða seinni útgáfu 
 - Útgáfa 7.17: uppfærið í útgáfu 7.17.10 (LTS) eða seinni útgáfu 
 - Útgáfa 7.21: uppfærið í útgáfu 7.21.4 (LTS) eða seinni útgáfu 
 - Útgáfa 8.0: uppfærið í útgáfu 8.0.3 eða seinni útgáfu 
 - Útgáfa 8.1: uppfærið í útgáfu 8.1.3 eða seinni útgáfu 
 - Útgáfa 8.2: uppfærið í útgáfu 8.2.2 eða seinni útgáfu 
 - Útgáfa 8.3: uppfærið í útgáfu 8.3.1 eða seinni útgáfu 

Sem mótvægisaðgerð (e. mitigation), ef ekki er mögulegt að uppfæra án tafa, þá mælir Atlassian með því að afvirkja opin repositories í heild (e. globally 
disable public repositories) með stillingunni "feature.public.access=false". Þessu er frekar lýst hjá Atlassian [3].
Þessi stilling gildir eingöngu fyrir opin repositories en veikleikann er áfram hægt að misnota af ógnaraðila með virkan notandaaðgang.  

Athugið að veikleikinn er ekki til staðar í bitbucket.org, skýjaþjónustu 
Atlassian samkvæmt tilkynningunni [1]. 


Tilvísanir:
[1] - https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html
[2] - https://jira.atlassian.com/browse/BSERV-13438
[3] - https://confluence.atlassian.com/bitbucketserver/allowing-public-access-to-code-776639799.html

Til baka