Atlassian, Bitbucket Sunucusu ve Veri Merkezinde, saldırganların savunmasız örnekler üzerinde kötü amaçlı kod yürütmesine olanak tanıyan kritik bir güvenlik açığını ortaya çıkardı. Kritik kusur, Bitbucket Sunucusu ve Veri Merkezi’nin birden çok API uç noktasında bulunan bir komut ekleme güvenlik açığı olan (CVE-2022-36804) olarak izleniyor.
Güvenlik Açığı Ayrıntıları
Bitbucket, Atlassian’a ait Git tabanlı bir kaynak kodu deposu barındırma hizmetidir. Bitbucket, sınırsız sayıda özel depoya sahip hem ticari planlar hem de ücretsiz hesaplar sunar.
Bitbucket Sunucusu ve Veri Merkezi – Komut ekleme güvenlik açığı, 9,9 CVSS önem puanı aldı. Atlassian şiddet seviyelerinde yayınlanan skalaya göre bu zafiyetin önem seviyesi ‘Kritik’.
Atlassian tarafından yayınlanan Danışma Belgesinde, “Genel bir havuza erişimi olan veya özel bir Bitbucket havuzuna okuma izinleri olan bir saldırgan, kötü niyetli bir HTTP isteği göndererek rastgele kod çalıştırabilir” diyor.
Etkilenen ve Sabit Sürümler
7.0.0 ve daha yeni sürümler dahil 6.10.17’den sonra yayımlanan tüm sürümler etkilenir; bu, 7.0.0 ve 8.3.0 dahil sürümleri çalıştıran tüm örneklerin bu güvenlik açığından etkilendiği anlamına gelir.
Ayrıca şirket, Bitbucket’e bir bitbucket.org etki alanı üzerinden erişen kullanıcıların, bunun Atlassian tarafından barındırıldığını ve kullanıcıların güvenlik açığından etkilenmediğini belirtiyor.
Sabit Sürümler
Şimdi güncelle
Atlassian, kullanıcılara örneği “Sabit Sürümler” tablosunda listelenen sürümlerden birine yükseltmelerini önerir. Ayrıca, Bitbucket Mesh düğümlerini yapılandırdıysanız, bunların düzeltmeyi içeren ilgili Mesh sürümüyle güncellenmesi gerekir.
Bitbucket örneğinizde yapılandırılmış Bitbucket Mesh olup olmadığından emin olmayanlar, sistem yönetimi ayrıcalıklarına sahip bir kullanıcı olarak Yönetim > Bitbucket Mesh’e gidin, bu sayfada her birinin yükseltilmesi gereken Mesh düğümleri listelenir.
Bitbucket’i yükseltemiyorsanız şirket, “feature.public.access=false” kullanarak genel depoları kapatarak geçici kısmi azaltma uygulamanızı önerir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap