Уязвимость в Bitbucket Server, позволяющая выполнить код на сервере

27.08.2022 11:20

В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-36804), позволяющая удалённому атакующему, имеющему доступ на чтение к приватным или публичным репозиториям, выполнить произвольный код на сервере через отправку специально оформленного HTTP-запроса. Проблема проявляется начиная с версии 6.10.17 и устранена в выпусках Bitbucket Server и Bitbucket Data Center 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 и 8.3.1. Уязвимость не проявляется в облачном сервисе bitbucket.org, а затрагивает только продукты для установки на своих мощностях.

Уязвимость выявлена исследователем безопасности в рамках инициативы Bugcrowd Bug Bounty, подразумевающей выплату вознаграждений за выявление ранее не известных уязвимостей. Размер вознаграждения составил 6 тысяч долларов. Подробности о методе атаки и прототип эксплоита обещают раскрыть через 30 дней после публикации исправления. В качестве меры для снижения риска атаки на свои системы до применения исправления рекомендуется ограничить публичный доступ к репозиториям при помощи настройки "feature.public.access=false".

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57686-bitbucket

Ключевые слова: bitbucket

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (37)

1.1, Аноним (1), 11:52, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Даже безопасный Питон не спасает от дыр.

2.2, pashev.ru (?), 11:57, 27/08/2022 [^] [^^] [^^^] [ответить]	+4 +/–
Это поделие на Яве.

3.4, Аноним21 (?), 12:05, 27/08/2022 [^] [^^] [^^^] [ответить]	+4 +/–
Тогда вообще не удивляемся.

4.6, Аноним (1), 12:50, 27/08/2022 [^] [^^] [^^^] [ответить]	+/–
Все уязвимости они же от памяти!

5.12, Аноним (12), 14:35, 27/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
от памяти программиста?

6.13, Аноним (13), 14:43, 27/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Надо было писать на Rust! (C) OpenNet

7.15, Аноним (1), 17:24, 27/08/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Карбон

6.14, Бывалый смузихлёб (?), 15:21, 27/08/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Уязвимость о которой не помнишь - уязвимость которой нет

7.30, ыы (?), 11:08, 28/08/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Только деменция позволяет людям жить в безопасном и счастливом мире... :)

8.35, Аноним (-), 01:20, 29/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Как деменция влияет на летящий с крыши кирпич Ему вроде пофиг, деменция там или... текст свёрнут, показать

9.38, Аноним (38), 16:13, 29/08/2022 [^] [^^] [^^^] [ответить]	+/–
Какая разница если ты ничего не понимаешь и не поймешь ... текст свёрнут, показать

8.36, Аноним (36), 13:25, 29/08/2022 [^] [^^] [^^^] [ответить]	+/–
Амнезия... текст свёрнут, показать

4.21, anonym13 (?), 00:16, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
Токсики с опеннета конечно же программят на ассемблере

5.39, Аноним (38), 16:13, 29/08/2022 [^] [^^] [^^^] [ответить]	+/–
Токсики уже слишком стары для всего этого дерьма.

3.18, лютый ж.... (?), 18:29, 27/08/2022 [^] [^^] [^^^] [ответить]	–2 +/–
>Bitbucket лень проверять (если подробности открыли вообще), но почти наверняка ты брешешь, ибо фронт на дзявке уже не делают давно... судя по тому же гитлабу, там под капотом ср@ный зоопарк из стеков и всяких софтин на разных яп.

4.19, ip1982 (ok), 19:54, 27/08/2022 [^] [^^] [^^^] [ответить]	+/–
Я лично работал с этой хренью и писал плагины для него в 2013 году.

5.22, лютый ж.... (?), 07:47, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
>Я лично работал с этой хренью и писал плагины для него в 2013 году. ичо? это доказывает, что баг из 2022 в коде на java?

6.26, ыы (?), 10:42, 28/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Уважаемый, а почему бы просто не посмотреть код? Когда у меня возникает вопрос к реализации того или иного артефакта- я так обычно и делаю. Попробуйте перенять мой опыт- возможно он окажется вам полезен :)

7.31, Аноним (31), 15:54, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
И чего ты достиг. Сколько фейсбуков ты уже написал?

8.33, ыы (?), 16:49, 28/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Учитывая КТО пишет код для фейсбука -я не уверен что это лестно для меня ... текст свёрнут, показать

8.37, Аноним (36), 13:28, 29/08/2022 [^] [^^] [^^^] [ответить]	+/–
Правка Сколько постов для Фейсбуков ты уже написал ... текст свёрнут, показать

1.3, Sw00p aka Jerom (?), 11:58, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
за rce 6к, кек

1.5, Аноним (5), 12:09, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
оно ещё трепыхается...

1.7, Бывалый смузихлёб (?), 12:50, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> Уязвимость не проявляется в облачном сервисе bitbucket.org, а затрагивает только продукты для установки на своих мощностях По случайному совпадению на битбакетовских серваках дыра не реализована

2.28, ыы (?), 10:55, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
Читаем одно, видим другое, понимаем третье... Где там "не реализована" ? Это ваши домыслы от невнимательности либо непонимания. "не проявляется" - это когда ошибка может и быть, но ни к каким последствиям это не приводит, или возможностей для ее эксплуатации не существует. Из-за архитектуры инфраструктуры, которая в облаке есть а у васяна на селфхосте- нет.

1.8, Иваня (?), 13:00, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Закопайте вы уже этот Bitbucket. У них даже сайт медленнее GitHub'а грузится..

2.9, Ананимус (?), 13:37, 27/08/2022 [^] [^^] [^^^] [ответить]	+/–
Это популярная self-hosted опция. Ну, была, пока они в облако не ушли.

3.24, Аноним (24), 09:38, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
Ненужная опция.

2.27, ыы (?), 10:51, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
Я не могу подтвердить это заявление. Конечно с секундомером я не замерял, но визуально - разница в загрузке на уровне погрешности. Может дело не в сайте?

1.10, Аноним (10), 13:52, 27/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Поди опять кто-то %20 или там ..///... некорректно фильтрует.

2.11, Аноним (12), 14:31, 27/08/2022 [^] [^^] [^^^] [ответить]	+3 +/–
> Уязвимость не проявляется в облачном сервисе bitbucket.org Стоит задуматься, а уязвимость ли это...

3.16, Аноним (1), 17:25, 27/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Ну и твой коммент потрет мировое правительство, потому что тут нельзя писать про теории заговора.

4.17, Главный Рептилоид (?), 18:02, 27/08/2022 [^] [^^] [^^^] [ответить]

+2 +/–

> Ну и твой коммент потрет мировое правительство, потому что тут нельзя писать про теории заговора.

С чего бы нам заниматься такой ерундой?

5.23, Аноним (24), 09:38, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
Потому что можете

5.29, ыы (?), 11:01, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
Потому что вы очень умные, и прозорливые, и видите ситуацию в комплексе, в перспективе недоступной простым землянам. Присутствие этого поста окажет в стратегическом плане катастрофические последствия, поскольку продемонстрирует ваш страх перед правдой, которую вы скрываете, но которая неизбежно найдет себе дорожку в умам людей. И тогда... Лучше вам даже не знать что будет тогда, когда люди сбросят ваш гнет... Вы пытаетесь придать элемент незначительности тому посту, свести все к шутке и пустышке, но на самом деле и вы и мы понимаем что иного выхода у вас нет...

6.32, Аноним (31), 15:55, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
Скорее тут накопительный эффект и окно овертона. Разрешил один коммент, будет в два раза больше, потом еще больше. И вот все уже в курсе всех дел мирового правительства.

3.25, ыы (?), 10:40, 28/08/2022 [^] [^^] [^^^] [ответить]	+/–
Почему в облачном сервисе не проявляется а исходном проявляется? Вероятно потому что тот вариант который идет в облако- еще дополнительно правится напильником, и за эту работу платят отдельные деньги.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: