Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

Kritische Sicherheitslücke bei Atlassian Bitbucket

In diesem Blogbeitrag finden Sie alle wichtigen Informationen zur Sicherheitslücke bei Atlassian Bitbucket und welche Maßnahmen Sie ergreifen sollten.

< < zurück zur Blogübersicht

Heute hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke für das Produkt Bitbucket veröffentlicht.

Es wurden Sicherheitsanfälligkeiten mit kritischem Schweregrad in Bitbucket Server sowie Bitbucket Data Center für folgende Versionen aufgedeckt:

    • 5.x before 5.16.10 (fehlerbehobene Version für 5.16.x)
    • 6.0.x before 6.0.10 (fehlerbehobene Version für 6.0.x)
    • 6.1.x before 6.1.8 (fehlerbehobene Version für 6.1.x)
    • 6.2.x before 6.2.6 (fehlerbehobene Version für 6.2.x)
    • 6.3.x before 6.3.5 (fehlerbehobene Version für 6.3.x)
    • 6.4.x before 6.4.3 (fehlerbehobene Version für 6.4.x)
    • 6.5.x before 6.5.2 (fehlerbehobene Version für 6.5.x)

 

Problembeschreibung

Bitbucket Server & Bitbucket Data Center hat eine Schwachstelle bei der Argumentinjektion, die es einem Angreifer ermöglicht, zusätzliche Argumente in Git-Befehle einzufügen, was zu einer Remotecodeausführung führen kann. Remote-Angreifer können diese Schwachstelle der Argumenteinbindung ausnutzen, wenn sie auf ein Git-Repository im Bitbucket-Server oder Bitbucket-Rechenzentrum zugreifen können. Wenn der öffentliche Zugriff für ein Projekt oder Repository aktiviert ist, können Angreifer dieses Problem anonym ausnutzen.

Das Problem betrifft die Systeme, die aus dem Internet und Intranet verfügbar sind.

Die Sicherheitshinweise

Eine genaue Beschreibung der Lücken und eines Workarounds für Bitbucket ist unter folgendem Link zu finden:

Problemlösung

Atlassian empfiehlt die Aktualisierung der Software auf folgende (fixed) Versionen:
  • 5.16.10
  • 6.0.10
  • 6.1.8
  • 6.2.6
  • 6.3.5
  • 6.4.3
  • 6.5.2
  • 6.6.0
  • 6.6.1

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen. 

Als Atlassian Platinum Solution Partner unterstützen wir Sie dabei gern.

 

Kommentar hinterlassen


Pin It on Pinterest