发布时间:2019-09-23 10:09:25,来源:中国信息通信研究院
一、基本情况
Atlassian Bitbucket Server和Atlassian Bitbucket Data Center中存在参数注入漏洞,CVE编号: CVE-2019-15000。攻击者利用该漏洞向Git命令注入额外的参数,便可导致远程命令执行。
二、攻击原理
Atlassian Bitbucket Server和Atlassian Bitbucket Data Center都是澳大利亚Atlassian公司的产品。Atlassian Bitbucket Server是一款Git代码托管解决方案。该方案能够管理并审查代码,具有差异视图、JIRA集成和构建集成等功能。Atlassian Bitbucket Data Center是Atlassian Bitbucket的数据中心版本。
Atlassian 官方发布了关于Atlassian Bitbucke漏洞公告,Atlassian Bitbucket Server和Atlassian Bitbucket Data Center中存在注入漏洞,允许攻击者向Git命令注入额外的参数,这可能导致远程命令执行。如果远程攻击者能够访问Bitbucket Server或Bitbucket Data Center中的Git存储库,则可以利用此参数注入漏洞。如果为项目或存储库启用了公共访问,则攻击者可以匿名利用此漏洞。
三、影响范围
受影响版本:
1)version < 5.16.10
2)6.0.0 <= version < 6.0.10
3)6.1.0 <= version < 6.1.8
4)6.2.0 <= version < 6.2.6
5)6.3.0 <= version < 6.3.5
6)6.4.0 <= version < 6.4.3
7)6.5.0 <= version < 6.5.2
四、处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://jira.atlassian.com/browse/BSERV-11947
五、参考链接
1)https://jira.atlassian.com/browse/BSERV-11947
2)https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-09-18-976762635.html