Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/8 33 82-0

Schwere Sicherheitslücke in Bitbucket Server

Atlassian hat einen Hinweis zu einer schweren Sicherheitslücke in Atlassian Bitbucket veröffentlicht. Darin geht es um anonymen Administrationszugang.

Atlassian BitbucketAtlas­sian hat einen Hin­weis zu einer schwe­ren Sicher­heits­lü­cke in Atlas­sian Bit­bu­cket ver­öf­fent­licht. Darin geht es um anony­men Admi­nis­tra­ti­ons­zu­gang.

Atlas­sian stuft die Sicher­heits­lü­cke als “High” ein, was dem zweit­höchs­ten Schwe­re­grad in der von Atlas­sian defi­nier­ten Abstu­fung ent­spricht.

Problembeschreibung

Die Sicher­heits­lü­cke erlaubt anony­men Zugriff auf einige Sei­ten im Admi­nis­tra­ti­ons­be­reich. Der Zugriff ist nur lesend mög­lich und erfolgt über spe­zi­ell prä­pa­rierte GET-Anfra­gen. Betrof­fen sind die Bitbucket/Stash-Versionen 2.4.2 bis 4.7.x. Ursa­che ist eine Schwach­stelle in Spring Secu­rity / MVC.

Der Sicherheitshinweis von Atlassian

Eine genaue Beschrei­bung der Sicher­heits­lü­cke ist unter fol­gen­dem Link zu fin­den:
Janu­ary 2017 – Bit­bu­cket Ser­ver (for­merly Stash) – Read-Only Anony­mous Admin Access

Problemlösung

Atlas­sian emp­fiehlt die Aktua­li­sie­rung von Bit­bu­cket auf Ver­sion 4.8.0 oder höher.

Wir sind da

Kon­tak­tie­ren Sie uns, wenn Sie Fra­gen haben oder Hilfe beim Update benö­ti­gen.

Kommentar hinterlassen