如何进行Bitbucket服务与数据中心远程代码执行漏洞通告
如何进行Bitbucket服务与数据中心远程代码执行漏洞通告
这篇文章给大家介绍如何进行Bitbucket服务与数据中心远程代码执行漏洞通告,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。
0x00 漏洞背景
2020年1月17日,360CERT监测到2020年1月15日Bitbucket官方发布了安全通告,其中包含三个远程代码执行漏洞,漏洞等级严重。
Bitbucket是ATLASSIAN公司提供的一个基于web的版本库托管服务,支持Mercurial和Git版本控制系统。此次安全通告公开了3个远程代码执行漏洞:
CVE-2019-15010
CVE-2019-20097
CVE-2019-15012
攻击者可以通过构造特定的攻击载荷利用以上漏洞进行攻击,攻击利用成功时可以在受害者的Bitbucket服务器或数据中心上执行任意命令。
360CERT判断漏洞等级为高,危害面/影响面广。建议使用Bitbucket Server和Data Center的用户及时安装最新补丁,以免遭受黑客攻击。
0x01 漏洞详情
1. CVE-2019-15010
此漏洞影响从3.0.0开始的Bitbucket Server和Data Center产品。攻击者可以利用具有用户级别权限的账户构造恶意的攻击载荷作为用户输入进行远程攻击。成功利用时攻击者可以在受害者的Bitbucket Server或Data Center实例上执行任意命令。
2. CVE-2019-20097
此漏洞影响从1.0.0开始的Bitbucket Server和Data Center产品。当攻击者具有克隆文件并可以将文件推送到受害者Bitbucket Server和Data Center实例的权限时,通过将包含特制内容的文件推送到受害者实例上来利用此漏洞。成功利用时攻击者可以在受害者的Bitbucket Server或Data Center实例上执行任意命令。
3. CVE-2019-15012
此漏洞影响Bitbucket Server和Data Center高于或等于4.13的版本。当攻击者具有某个项目仓库的写权限时,可以通过在以写权限运行的Bitbucket Server和Data Center实例上写入任意文件。在某些情况下可能会造成远程代码执行,从而造成任意命令执行。
0x02 影响版本
| CVE编号 | 受影响版本 |
|---|---|
| CVE-2019-15010 | version 3.x.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1 |
| CVE-2019-20097 | version 1.x.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1 |
| CVE-2019-15012 | version 4.13.x < 5.16.11 version 6.0.x < 6.0.11 version 6.1.x < 6.1.9 version 6.2.x < 6.2.7 version 6.3.x < 6.3.6 version 6.4.x < 6.4.4 version 6.5.x < 6.5.3 version 6.6.x < 6.6.3 version 6.7.x < 6.7.3 version 6.8.x < 6.8.2 version 6.9.x < 6.9.1 |
0x03 修复建议
通用修补建议
1.将Bitbucket Server或Data Center升级到最新版本(6.9.1),可以从官方网站下载最新版本:
https://www.atlassian.com/software/bitbucket/download
2.如无法升级到最新版本,可以根据现有版本升级到以下包含漏洞补丁的版本:
| 当前版本 | 对应漏洞修复版本 |
|---|---|
| 1.xx,2.xx,3.xx,4.xx或5.xx | 5.16.11 |
| 6.0.x | 6.0.11 |
| 6.1.x | 6.1.9 |
| 6.2.x | 6.2.7 |
| 6.3.x | 6.3.6 |
| 6.4.x | 6.4.4 |
| 6.5.x | 6.5.3 |
| 6.6.x | 6.6.3 |
| 6.7.x | 6.7.3 |
| 6.8.x | 6.8.2 |
漏洞修复版本可以从此地址下载:
https://www.atlassian.com/software/bitbucket/download-archives
临时修复方案
如果无法立即升级Bitbucket Server和Data Center对于CVE-2019-15012,可以按照以下步骤禁用编辑文件功能:
在bitbucket.properties中,
设置feature.file.editor=false
对于CVE-2019-15010或CVE-2019-20097没有已知的解决方法,因此请尽快升级版本。
关于如何进行Bitbucket服务与数据中心远程代码执行漏洞通告就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。