Kritik Atlassian Bitbucket Sunucusu Ve Veri Merkezi Kusuru, Saldırganların Kötü Amaçlı Kod Yürütmesine İzin Veriyor
Atlassian, Bitbucket Server ve Data Center'da saldırganların savunmasız örneklerde kötü amaçlı kod yürütmesine izin veren kritik bir güvenlik açığı ortaya çıkardı. Kritik kusur, Bitbucket Server ve Data Center'ın birden çok API uç noktasında bulunan bir komut ekleme güvenlik açığı olan (CVE-2022-36804) olarak izleniyor.
Güvenlik Açığı Ayrıntıları
Bitbucket, Atlassian'a ait Git tabanlı bir kaynak kodu deposu barındırma hizmetidir. Bitbucket, sınırsız sayıda özel depoya sahip hem ticari planlar hem de ücretsiz hesaplar sunar.
Bitbucket Server and Data Center – Komut ekleme güvenlik açığı 9,9 CVSS önem puanı aldı. Atlassian önem düzeylerinde yayınlanan ölçeğe göre, bu güvenlik açığının önem düzeyi 'Kritik'tir.
Atlassian tarafından yayımlanan Danışma Belgesi'nde "Genel bir depoya erişimi olan veya özel bir Bitbucket deposuna okuma izinleri olan bir saldırgan, kötü amaçlı bir HTTP isteği göndererek rasgele kod yürütebilir" deniyor.
Etkilenen Ve Düzeltilen Sürümler
7.0.0 ve daha yenisi de dahil olmak üzere 6.10.17'den sonra yayımlanan tüm sürümler etkilenir, bu da 7.0.0 ile 8.3.0 dahil tüm sürümleri çalıştıran tüm örneklerin bu güvenlik açığından etkilendiği anlamına gelir.
Ayrıca, şirket, Bitbucket'e bitbucket.org bir etki alanı üzerinden erişen kullanıcıların, Atlassian tarafından barındırıldığını ve kullanıcıların güvenlik açığından etkilenmediğini belirtiyor.
Düzeltilen Sürümler
Hemen Güncelleyin
Atlassian, kullanıcılara bulut sunucusunu "Sabit Sürümler" tablosunda listelenen sürümlerden birine yükseltmelerini önerir. Ayrıca, Bitbucket Mesh düğümlerini yapılandırdıysanız, bunların düzeltmeyi içeren ilgili Mesh sürümüyle güncelleştirilmesi gerekir.
Bitbucket bulut sunucunuzda Bitbucket Mesh'in yapılandırılmış olup olmadığından emin olmayanlar, sistem yönetimi ayrıcalıklarına sahip bir kullanıcı Yönetim > Bitbucket Mesh'e gittiğinde, bu sayfada her birinin yükseltilmesi gereken Mesh düğümleri listelenir.
Bitbucket'i yükseltemiyorsanız şirket, "feature.public.access=false" kullanarak genel depoları kapatarak geçici kısmi azaltma uygulamanızı önerir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News