Meelogic Atlassian Blog

Bitbucket Server Security Advisory Systemverwundbarkeit 2020-01-15

Zusammenfassung der Verwundbarkeit

Dieser Hinweis enthüllt Sicherheitslücken kritischen Schweregrades in den oben aufgeführten Bitbucket Server- Data Center Versionen (“Betroffene Bitbucket Server- und Data Centerversionen”).

Kunden, die eine der oben aufgeführten Bitbucket Server- und Data Center Versionen (“Betroffene Bitbucket Server- und Data Center Versionen”) heruntergeladen und installiert haben, sind betroffen.

Bitte aktualisieren Sie Ihre Bitbucket Server- und Data Center-Installationen sofort, um diese Schwachstelle zu beheben.

Kunden, die Bitbucket Cloud verwenden, sind nicht betroffen.
Bitbucket Smart Mirrors sind nicht betroffen.
Kunden, die Bitbucket Server und Data Center auf die Versionen 5.16.11, 6.0.11, 6.1.9, 6.2.7, 6.3.6, 6.4.4, 6.5.3, 6.6.3, 6.7.3, 6.8.2, 6.9.1 oder höher aktualisiert haben, sind nicht betroffen.

 

Remote Code Execution (RCE) über bestimmte Benutzereingabefelder – CVE-2019-15010

Schweregrad

Atlassian hat diese Verwundbarkeit als kritisch eingestuft. Diese Einstufung erfolgte nach den Sicherheitsstufen von Atlassian, die Schwachstellen als kritisch, hoch, mittel oder gering einstufen.

Dies ist unsere Bewertung und Sie sollten die Anwendbarkeit auf Ihre eigene IT-Umgebung bewerten.

 

Beschreibung

Bitbucket Server- und Datencenter-Versionen ab 3.0.0 wiesen über bestimmte Benutzer-Eingabefelder eine Schwachstelle bei der Remote-Code-Ausführung auf. Ein entfernter Angreifer mit Berechtigungen auf Benutzerebene kann diese Schwachstelle ausnutzen, um beliebige Befehle auf den Systemen des Opfers auszuführen. Unter Verwendung einer speziell gestalteten Nutzlast als Benutzereingabe kann der Angreifer beliebige Befehle auf dem Bitbucket-Server oder der Data Center Instanz des Opfers ausführen.

Die von dieser Verwundbarkeit betroffenen Versionen von Bitbucket Server und Data Center sind:

  • from version 3.x.x before 5.16.11 (the fixed version for 5.16.x),
  • from version 6.0.x before 6.0.11 (fixed version for 6.0.x),
  • from version 6.1.x before 6.1.9 (fixed version for 6.1.x),
  • from version 6.2.x before 6.2.7 (fixed version for 6.2.x),
  • from version 6.3.x before 6.3.6 (fixed version for 6.3.x),
  • from version 6.4.x before 6.4.4 (fixed version for 6.4.x),
  • from version 6.5.x before 6.5.3 (fixed version for 6.5.x),
  • from version 6.6.x before 6.6.3 (fixed version for 6.6.x),
  • from version 6.7.x before 6.7.3 (fixed version for 6.7.x),
  • from version 6.8.x before 6.8.2 (fixed version for 6.8.x)
  • from version 6.9.x before 6.9.1 (fixed version for 6.9.x)

 

Ferngesteuerte Code-Ausführung (RCE) über Post-Empfangs-Hook – CVE-2019-20097

Schweregrad

Atlassian hat diese Verwundbarkeit als kritisch eingestuft. Diese Einstufung erfolgte nach den Sicherheitsstufen von Atlassian, die Schwachstellen als kritisch, hoch, mittel oder gering einstufen.

Dies ist unsere Bewertung, und Sie sollten die Anwendbarkeit auf Ihre eigene IT-Umgebung bewerten.

 

Beschreibung

Bitbucket Server- und Data Center Versionen ab 1.0.0 wiesen über den Post-Empfangs-Hook eine Schwachstelle bei der Remote-Code-Ausführung auf. Ein entfernter Angreifer mit der Freigabe, Dateien zu klonen und in ein Repository auf der Bitbucket Server- oder Data Center-Instanz des Opfers zu verschieben, kann diese Schwachstelle ausnutzen, um beliebige Befehle auf den Bitbucket Server- oder Data Center-Systemen auszuführen, wobei er eine Datei mit speziell präpariertem Inhalt verwendet.

Die von dieser Schwachstelle betroffenen Versionen von Bitbucket Server und Data Center sind:

  • von Version 1.x.x vor 5.16.11 (korrigierte Version für 5.16.x),
  • von Version 6.0.x vor 6.0.11 (feste Version für 6.0.x),
  • von Version 6.1.x vor 6.1.9 (feste Version für 6.1.x),
  • von Version 6.2.x vor 6.2.7 (feste Version für 6.2.x),
  • von Version 6.3.x vor 6.3.6 (feste Version für 6.3.x),
  • von Version 6.4.x vor 6.4.4 (feste Version für 6.4.x),
  • von Version 6.5.x vor 6.5.3 (feste Version für 6.5.x),
  • von Version 6.6.x vor 6.6.3 (feste Version für 6.6.x),
  • von Version 6.7.x vor 6.7.3 (feste Version für 6.7.x),
  • von Version 6.8.x vor 6.8.2 (korrigierte Version für 6.8.x)
  • von Version 6.9.x vor 6.9.1 (korrigierte Version für 6.9.x)

 

Remote Code Execution (RCE) über eine Anfrage zur Dateibearbeitung – CVE-2019-15012

Schweregrad

Atlassian hat dieser Schwachstelle eine kritische CVSS-Bewertung gegeben. Diese Einstufung erfolgte nach den Sicherheitsstufen von Atlassian, die Schwachstellen als kritisch, hoch, mäßig oder gering einstufen.

Dies ist unsere Bewertung, und Sie sollten die Anwendbarkeit auf Ihre eigene IT-Umgebung bewerten.

 

Beschreibung

Bei Bitbucket Server- und Data Center Versionen >= 4.13 gab es eine Sicherheitslücke bei der Remote-Codeausführung über die Editierdateianforderung. Ein entfernter Angreifer mit Schreibberechtigung für ein Repository kann über den Editierdatei-Endpunkt in jede beliebige Datei auf die Bitbucket Server- oder Data Center-Instanz des Opfers schreiben, wenn der Benutzer Bitbucket Server oder Data Center läuft und die Berechtigung hat, die Datei an diesem Ziel zu schreiben. In einigen Fällen kann dies zur Ausführung von beliebigem Code durch die Bitbucket Server-Instanz des Opfers führen.

Die von dieser Schwachstelle betroffenen Versionen von Bitbucket Server und Data Center sind:

  • von Version 4.13.x vor 5.16.11 (korrigierte Version für 5.16.x),
  • von Version 6.0.x vor 6.0.11 (feste Version für 6.0.x),
  • von Version 6.1.x vor 6.1.9 (feste Version für 6.1.x),
  • von Version 6.2.x vor 6.2.7 (feste Version für 6.2.x),
  • von Version 6.3.x vor 6.3.6 (feste Version für 6.3.x),
  • von Version 6.4.x vor 6.4.4 (feste Version für 6.4.x),
  • von Version 6.5.x vor 6.5.3 (feste Version für 6.5.x),
  • von Version 6.6.x vor 6.6.3 (feste Version für 6.6.x),
  • von Version 6.7.x vor 6.7.3 (feste Version für 6.7.x),
  • von Version 6.8.x vor 6.8.2 (korrigierte Version für 6.8.x)
  • von Version 6.9.x vor 6.9.1 (korrigierte Version für 6.9.x)

 

Fix

Um diese Probleme zu beheben, haben wir eine Version von Bitbucket Server und Data Center veröffentlicht:

  • 5.16.11 veröffentlicht, die eine Korrektur für diese Probleme enthält.
  • 6.0.11, die eine Lösung für diese Probleme enthält.
  • 6.1.9, die eine Lösung für diese Probleme enthält.
  • 6.2.7, die eine Korrektur für diese Probleme enthält.
  • 6.3.6 mit einem Fix für diese Probleme.
  • 6.4.4 mit einem Fix für diese Probleme.
  • 6.5.3 mit einem Fix für diese Probleme.
  • 6.6.3 mit einem Fix für diese Probleme.
  • 6.7.3 mit einem Fix für diese Probleme.
  • 6.8.2 mit einem Fix für diese Probleme.
  • 6.9.1 mit einem Fix für diese Probleme.

Diese Versionen können unter https://www.atlassian.com/software/bitbucket/download-archives heruntergeladen werden, die neueste Version unter https://www.atlassian.com/software/bitbucket/download.

 

Was Sie tun müssen

Atlassian empfiehlt Ihnen ein Upgrade auf die neueste Version (6.9.1). Eine vollständige Beschreibung der neuesten Version von Bitbucket Server und Data Center finden Sie in den Versionshinweisen. Sie können die neueste Version von Bitbucket Server und Data Center von der Atlassian Website herunterladen.

 

Wenn Sie nicht auf die neueste Version (6.9.1) aktualisieren können:

1.x.x, 2.x.x, 3.x.x, 4.x.x or 5.x.x5.16.11
6.0.x6.0.11
6.1.x6.1.9
6.2.x6.2.7
6.3.x6.3.6
6.4.x6.4.4
6.5.x6.5.3
6.6.x6.6.3
6.7.x6.7.3
6.8.x6.8.2