Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

Sicherheitslücke für das Produkt Bitbucket von Atlassian

In diesem Beitrag finden Sie alle wichtigen Informationen zur veröffentlichten Sicherheitslücke bei dem Produkt Bitbucket von Atlassian.

Gestern hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke für das  Produkt Bitbucket veröffentlicht. 

Es wurden Sicherheitsanfälligkeiten mit kritischem Schweregrad in Bitbucket Server sowie Bitbucket Data Center für folgende Versionen aufgedeckt: 

  • Alle 1.x.x, 2.x.x, 3.x.x, 4.x.x Versionen 
  • Alle 5.x.x Versionen vor 5.16.11 
  • Alle6.0.x Versionen vor 6.0.11 
  • Alle 6.1.x Versionen vor 6.1.9 
  • Alle 6.2.x Versionen vor 6.2.7 
  • Alle 6.3.x Versionen vor 6.3.6 
  • Alle 6.4.x Versionen vor 6.4.4 
  • Alle 6.5.x Versionen vor 6.5.3 
  • Alle 6.6.x Versionen vor 6.6.3 
  • Alle 6.7.x Versionen vor 6.7.3 
  • Alle 6.8.x Versionen vor 6.8.2 
  • Alle 6.9.xVersionen vor 6.9.1 

Für Kunden, die Bitbucket Cloud benutzen, besteht kein Handlungsbedarf. 

Problembeschreibung 

CVE-2019-15010 

Bitbucket Server und Data Center mit Versionen ab 3.0.0 haben über bestimmte Benutzer-Eingabefelder eine Remote Code Execution Schwachstelle. Ein Angreifer mit Berechtigungen auf der Benutzerebene kann diese Schwachstelle ausnutzen, um beliebige Befehle auf den Systemen des Opfers auszuführen. Unter Verwendung einer speziell gestalteten Nutzlast als Benutzereingabe kann der Angreifer beliebige Befehle auf dem Bitbucket-Server oder der Data Center Instanz des Opfers ausführen. 

 

CVE-2019-15012 

Bitbucket Server und Data Center Versionen mit Version 4.13 und höher haben eine Remote Code Execution Schwachstelle über die Editier-Dateianforderung. Ein Angreifer mit Repository-Schreibrechten kann über den Endpunkt edit-file in jede beliebige Datei auf dem Bitbucket Server- oder der Data Center-Instanz des Opfers schreiben, wenn diese in Betrieb sind. In einigen Fällen kann dies zur Ausführung von beliebigem Code durch die Bitbucket Instanz des Opfers führen. 

 

CVE-2019-20097 

Bitbucket Server und Data Center Versionen ab 1.0.0 haben eine Remote Code Execution Schwachstelle über den Post-Empfangs-Hook. Ein Angreifer mit dem Recht Dateien zu klonen und in ein Repository auf der Bitbucket Server- oder Data Center-Instanz des Opfers zu verschieben, kann diese Schwachstelle ausnutzen, um beliebige Befehle auf den Bitbucket dort auszuführen, indem er eine Datei mit speziell präpariertem Inhalt verwendet. 

 

Das Problem betrifft die Systeme, die aus dem Internet und Intranet verfügbar sind. 


Die Sicherheitshinweise 

Eine genaue Beschreibung der Lücken und eines möglichen Workarounds für Bitbucket ist unter folgendem Link zu finden: 

Problemlösung 

Atlassian empfiehlt die Aktualisierung der Software auf folgende (fixed) Versionen: 

  • 5.16.11 
  • 6.0.11 
  • 6.1.9 
  • 6.2.7 
  • 6.3.6 
  • 6.4.4 
  • 6.5.3 
  • 6.6.3 
  • 6.7.3 
  • 6.8.2 
  • 6.9.1 oder höher 

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen. 

Als Atlassian Platinum Solution Partner unterstützen wir Sie dabei gern. 

 

Kommentar hinterlassen


Pin It on Pinterest