Atlassian, Bitbucket Sunucusu ve Veri Merkezi teklifi için önemli bir güvenlik açığını gidermek için güncellemeler yayınladı.
CVE-2022-43781 olarak tanımlanan kusur, özel olarak oluşturulmuş sorgular yoluyla istismar edilebilecek ortam değişkenlerini kullanan bir komut enjeksiyon zayıflığı olarak tanımlandı.
Bu güvenlik açığı aşağıdaki sürümleri etkiler:
Bitbucket 7.0’dan 7.21’e kadar Sunucu ve Veri Merkezi
bitbucket.properties’te mesh.enabled false olarak ayarlanırsa, Bitbucket Data Center ve Server 8.0 ila 8.4 sürümleri çalışmaz.
Atlassian, açıklanan ölçeğe göre bu güvenlik açığının önem derecesini kritik olarak sınıflandırıyor.
İşletmeye göre Bitbucket Sunucusu ve PostgreSQL destekli Veri Merkezi örnekleri bu sorundan etkilenmez.
“Bitbucket Sunucusu ve Veri Merkezi, ortam değişkenlerini kullanan bir komut enjeksiyon güvenlik açığına sahip. Atlassian’dan yapılan açıklamaya göre, oturum açma bilgilerine erişimi olan bir saldırgan, kod yürütmeyi elde etmek ve sistemde kod çalıştırmak için bu kusurdan yararlanabilir.
Bitbucket Sunucusu ve Veri Merkezi, ortam değişkenlerini kullanan bir komut enjeksiyon güvenlik açığına sahiptir. Atlassian’dan gelen bir uyarıya göre, oturum açma bilgilerine erişimi olan bir saldırgan, kod yürütmeyi elde etmek ve sistemde kod çalıştırmak için bu kusurdan yararlanabilir.
Bunun yerine, kullanıcılara “Genel Kayıt”ı kapatmalarını veya yazılımın en yeni sürümüne güncellemelerini önerir. Saldırıyı kimliği doğrulanmamış bir saldırıdan kimliği doğrulanmış bir saldırıya dönüştüreceğinden, genel kayıt devre dışı bırakılırsa istismar tehlikesi azalır. Bu ayarı devre dışı bırakmak için Yönetim > Kimlik Doğrulama altındaki Herkese açık kayda izin ver seçeneğini temizleyin.
Genel kayıt kapatıldığında, güvenlik açığı ADMIN veya SYS ADMIN yetkili kullanıcıları tarafından kullanılmaya devam edilebilir.
İşletme, CVE-2022-43781 numaralı danışma belgesinde “Bu nedenle, bu hafifletme geçici bir önlem olarak görülmeli ve müşterilerin mümkün olan en kısa sürede düzeltilmiş bir sürüme güncellemeleri istenmelidir” şeklinde bir uyarı yayınladı.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.