Atlassian上周公布安全更新,以修补位于CI/CD管理平台Bitbucket可能让攻击者远程程序代码执行的重大漏洞。
Bitbucket是一Git存储库管理及CI/CD平台,可以托管服务或本地部署方式提供。最新漏洞编号CVE-2022-36804,则是影响本地部署的Bitbucket Server及Data Center版本。它是一个指令注入漏洞,发生在这2项软件的多项API端点,可让具备公开存储库或读取私有Bitbucket权限的攻击者,借由发送恶意HTTP调用开采,并执行任意程序代码。Atlassian将该漏洞列为9.9。
这项漏洞是由代号@GrandPew的独立研究人员于7月发现,他当时发现可经由这项漏洞完成本地文件包含(local file inclusion)及远程程序代码执行。他表示将在30天内公布概念验证攻击程序(Proof of Concept,PoC)。
受影响的产品为Bitbucket Server及Data Center 6.10.17以后版本,这表示执行在7.0.0及8.3.0之间的执行实例都受漏洞威胁。Atlassian已针对现在还支持的版本,包括7.17、7.21、7.6、8.0、8.1、8.2及8.3发布新版本,呼吁用户尽快升级。
此外,如果用户配置了Bitbucket Mesh节点,即以Bitbucket Server或Data Center版本组成的分布式存储架构,也应升级到最新相应版本。
Atlassian Cloud则不受影响。如果用户是经由bitcucket.org域名访问Bitbucket服务,表示是由Atlassian托管,就不在这次漏洞威胁范围之内。
若用户暂时无法安装修补版本,Atlassian建议用户借由设置feature.public.access=false关闭公开存储库降低风险,但仍建议用户应尽快完成漏洞修补。