Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücke für das Produkt Bitbucket von Atlassian

In diesem Beitrag finden Sie alle wichtigen Informationen zur veröffentlichten Sicherheitslücke bei dem Produkt Bitbucket von Atlassian.

Gestern hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke für das  Produkt Bitbucket ver­öf­fent­licht. 

Es wur­den Sicherheitsanfälligkeiten mit kri­ti­schem Schweregrad in Bitbucket Server sowie Bitbucket Data Center für fol­gende Versionen auf­ge­deckt: 

  • Alle 1.x.x, 2.x.x, 3.x.x, 4.x.x Versionen 
  • Alle 5.x.x Versionen vor 5.16.11 
  • Alle6.0.x Versionen vor 6.0.11 
  • Alle 6.1.x Versionen vor 6.1.9 
  • Alle 6.2.x Versionen vor 6.2.7 
  • Alle 6.3.x Versionen vor 6.3.6 
  • Alle 6.4.x Versionen vor 6.4.4 
  • Alle 6.5.x Versionen vor 6.5.3 
  • Alle 6.6.x Versionen vor 6.6.3 
  • Alle 6.7.x Versionen vor 6.7.3 
  • Alle 6.8.x Versionen vor 6.8.2 
  • Alle 6.9.xVersionen vor 6.9.1 

Für Kunden, die Bitbucket Cloud benut­zen, besteht kein Handlungsbedarf. 

Problembeschreibung 

CVE-2019–15010 

Bitbucket Server und Data Center mit Versionen ab 3.0.0 haben über bestimmte Benutzer-Eingabefelder eine Remote Code Execution Schwachstelle. Ein Angreifer mit Berechtigungen auf der Benutzerebene kann diese Schwachstelle aus­nut­zen, um belie­bige Befehle auf den Systemen des Opfers aus­zu­füh­ren. Unter Verwendung einer spe­zi­ell gestal­te­ten Nutzlast als Benutzereingabe kann der Angreifer belie­bige Befehle auf dem Bitbucket-Server oder der Data Center Instanz des Opfers aus­füh­ren. 

 

CVE-2019–15012 

Bitbucket Server und Data Center Versionen mit Version 4.13 und höher haben eine Remote Code Execution Schwachstelle über die Editier-Dateianforderung. Ein Angreifer mit Repository-Schreibrechten kann über den Endpunkt edit-file in jede belie­bige Datei auf dem Bitbucket Server- oder der Data Center-Instanz des Opfers schrei­ben, wenn diese in Betrieb sind. In eini­gen Fällen kann dies zur Ausführung von belie­bi­gem Code durch die Bitbucket Instanz des Opfers füh­ren. 

 

CVE-2019–20097 

Bitbucket Server und Data Center Versionen ab 1.0.0 haben eine Remote Code Execution Schwachstelle über den Post‑Empfangs-Hook. Ein Angreifer mit dem Recht Dateien zu klo­nen und in ein Repository auf der Bitbucket Server- oder Data Center-Instanz des Opfers zu ver­schie­ben, kann diese Schwachstelle aus­nut­zen, um belie­bige Befehle auf den Bitbucket dort aus­zu­füh­ren, indem er eine Datei mit spe­zi­ell prä­pa­rier­tem Inhalt ver­wen­det. 

 

Das Problem betrifft die Systeme, die aus dem Internet und Intranet ver­füg­bar sind. 


Die Sicherheitshinweise 

Eine genaue Beschreibung der Lücken und eines mög­li­chen Workarounds für Bitbucket ist unter fol­gen­dem Link zu fin­den: 

Problemlösung 

Atlassian emp­fiehlt die Aktualisierung der Software auf fol­gende (fixed) Versionen: 

  • 5.16.11 
  • 6.0.11 
  • 6.1.9 
  • 6.2.7 
  • 6.3.6 
  • 6.4.4 
  • 6.5.3 
  • 6.6.3 
  • 6.7.3 
  • 6.8.2 
  • 6.9.1 oder höher 

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benö­ti­gen. 

Als Atlassian Platinum Solution Partner unter­stüt­zen wir Sie dabei gern. 

 

Related Posts

Pin It on Pinterest