The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере "  +/
Сообщение от opennews (??), 19-Ноя-22, 11:21 
В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-43781), позволяющая удалённому атакующему добиться выполнения кода на сервере. Уязвимость может быть эксплуатирована неутентифицированным пользователем, если на сервере разрешена самостоятельная регистрация (включена настройка "Allow public signup"). Эксплуатация также возможна аутентифицированным пользователем у которого есть права на изменение имени пользователя (т.е. есть полномочия ADMIN или SYS_ADMIN). Детали пока не приводится, известно только то, что проблема вызвана возможностью подстановки команд через переменные окружения...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58151

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –2 +/
Сообщение от Аноним (1), 19-Ноя-22, 11:21 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +5 +/
Сообщение от Аноним (3), 19-Ноя-22, 11:23 
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +1 +/
Сообщение от Аноним (2), 19-Ноя-22, 11:21 
Давайте айпишники ваших серверов, я покажу как надо выполнять код.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +8 +/
Сообщение от pashev.ru (?), 19-Ноя-22, 11:27 
127.0.0.1
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +2 +/
Сообщение от Аноним (7), 19-Ноя-22, 13:58 
По этому адресу нет ведра битов
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +3 +/
Сообщение от КО (?), 19-Ноя-22, 14:06 
https://rr.noordstar.me/mybitbucket-3c89559f
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

15. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +/
Сообщение от Аноним (15), 20-Ноя-22, 19:54 
рикролл.
я уже не в первый раз читаю про проприетарные уязвимости в битбукете
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  –1 +/
Сообщение от Анонн (?), 19-Ноя-22, 12:34 
Неприятно конечно, но необходимость полномочий "ADMIN или SYS_ADMIN" немного уменьшают вероятность взлома.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  –1 +/
Сообщение от Бывалый смузихлёб (?), 19-Ноя-22, 13:31 
> Уязвимость не проявляется в облачном сервисе bitbucket.org

так это не уязвимость а дыра

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  –1 +/
Сообщение от Аномин (?), 19-Ноя-22, 15:55 
Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе. Эксплойты на них работать не будут.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  –3 +/
Сообщение от Аноним (-), 19-Ноя-22, 17:18 
На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крутить филейной частью над домом культуры вечером. Бери, не хочу...
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +1 +/
Сообщение от Аноним42 (?), 19-Ноя-22, 20:49 
Вращай на гайке! Неуловимый джо
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +2 +/
Сообщение от Аноним (13), 19-Ноя-22, 22:03 
Вращали бы, да софта под бсд раз, два и обчёлся. Индустрия сделала свой выбор.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +/
Сообщение от Аноним (13), 19-Ноя-22, 21:59 
> затрагивает только продукты для установки на своих мощностях

Т.е. в опасности только 3½ унылых энтерпрайз-клиента, у которых всё в ланчике с айпишничками на десяточку за натами и фаерволлами, и доступом только через vpn, даже из интранета. Ой-вей.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Bitbucket Server, приводящая к выполнению кода ..."  +/
Сообщение от Аноним (16), 23-Ноя-22, 21:46 
Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окружения. Но они смогли это.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру