修復(fù)Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的關(guān)鍵漏洞!(CVE-2022-36804)
修復(fù)Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的關(guān)鍵漏洞!(CVE-2022-36804)
未經(jīng)授權(quán)的攻擊者可以利用Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的一個(gè)關(guān)鍵漏洞(CVE-2022-36804)在易受攻擊的實(shí)例上執(zhí)行惡意代碼。
關(guān)于CVE-2022-36804
Bitbucket服務(wù)器和數(shù)據(jù)中心被世界各地的軟件開發(fā)人員用于源代碼修訂控制、管理和托管。
CVE-2022-36804是Bitbucket服務(wù)器和數(shù)據(jù)中心的多個(gè)API端點(diǎn)中的命令注入漏洞。
Atlassian解釋說:“具有公共存儲(chǔ)庫訪問權(quán)限或私人Bitbucket存儲(chǔ)庫讀取權(quán)限的攻擊者可以通過發(fā)送惡意HTTP請(qǐng)求來執(zhí)行任意代碼。”。攻擊者可以采取哪些后續(xù)操作取決于與受攻擊應(yīng)用程序關(guān)聯(lián)的權(quán)限。
在版本7.6.17、7.17.10、7.21.4、8.0.3、8.1.2、8.2.2和8.3.1之前發(fā)布的所有Bitbucket服務(wù)器和數(shù)據(jù)中心版本都有漏洞,但Atlassian托管的Bitbucket安裝不受影響。
在攻擊者開始攻擊之前修復(fù)該問題
建議用戶升級(jí)到其自托管安裝,以堵塞安全漏洞。
該公司補(bǔ)充說:“如果您已經(jīng)配置了Bitbucket網(wǎng)格節(jié)點(diǎn),則需要將其更新為包含修復(fù)的相應(yīng)版本的網(wǎng)格。”。
“如果無法升級(jí)Bitbucket,臨時(shí)緩解措施是通過設(shè)置feature.public.access=false全局關(guān)閉公共存儲(chǔ)庫,因?yàn)檫@會(huì)將此攻擊向量從未經(jīng)授權(quán)的攻擊更改為授權(quán)的攻擊。這不能被視為完全緩解,因?yàn)榫哂杏脩魩舻墓粽呷匀豢赡艹晒Α!?/span>
CVE-2022-36804由AppSec審計(jì)員Maxwell Garret(又名TheGrandPew)報(bào)告,他最近承諾在9月底發(fā)布PoC。
當(dāng)然,沒有什么能阻止攻擊者對(duì)提供的修復(fù)補(bǔ)丁進(jìn)行反向工程,以收集足夠的信息來攻擊該漏洞,從而創(chuàng)建有效的攻擊,因此用戶應(yīng)迅速采取行動(dòng)阻止這一攻擊途徑。
相關(guān)新聞
-
>數(shù)以千計(jì)的 QNAP NAS 設(shè)備被DeadBolt勒索軟件攻擊 (CVE-2022-27593)
-
>IPguard發(fā)布新版本4.61.123.0
-
>IPguard發(fā)布新版本4.54.818.0
-
>IPguard發(fā)布新版本4.51.113.0
-
>祝賀我司續(xù)簽IPguard鉆石代理(最高級(jí))
-
>什么是數(shù)據(jù)工程師?
-
>IPguard發(fā)布新版本4.53.613.0
-
>GitLab的Critical RCE bug已修補(bǔ),請(qǐng)盡快更新!(CVE-2022-2884)
-
>屏幕水印技術(shù)有哪些表現(xiàn)形態(tài)
-
>注意!!!Cisco身份認(rèn)證服務(wù)引擎中的漏洞(CVE-2022-20822、CVE-2022-20959)
