Pre Auth Remote Command Execution (CVE-2022-36804) in Atlassian Bitbucket

Publiziert am 22. September 2022 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]In der Versionsverwaltung für Software-Entwicklungsprojekte, Atlassian Bitbucket, gibt es eine kritische Remote Command Execution Schwachstelle (CVE-2022-36804). Atlassian hatte Ende August 2022 bereits einen Sicherheitshinweise sowie ein Produkt-Update für die als kritisch eingestufte Schwachstelle veröffentlicht. Jetzt scheinen die Entdecker Details zur Schwachstelle veröffentlicht zu haben.

Anzeige

Atlassian Bitbucket

Atlassian Bitbucket ist ein webbasierter Onlinedienst zur Versionsverwaltung für Software-Entwicklungsprojekte. Der Dienst wurde ursprünglich als reines Mercurial-System entwickelt, jedoch am 3. Oktober 2011 um Unterstützung für Git erweitert. Die Wikipedia gibt an, dass 2014 über 330.000 Teams aus über 2,5 Millionen Entwicklern mit Bitbucket arbeiteten – neuere Daten habe ich nicht.

Atlassian Sicherheitswarnung zu Bitbucket

Als ich heute kurz recherchiert habe, bin ich auf die Sicherheitswarnung Bitbucket Server and Data Center – Command injection vulnerability – CVE-2022-36804 von Atlassian gestoßen. Zum 24. August 2022 warnen die Leute Command Injection-Schwachstelle CVE-2022-36804, die sowohl Bitbucket Server als auch das Bitbucket Data Center betrifft. Dazu heißt es:

Dieser Hinweis deckt eine kritische Sicherheitsschwachstelle auf, die in Version 7.0.0 von Bitbucket Server und Data Center eingeführt wurde. Alle Versionen, die nach 6.10.17 veröffentlicht wurden, einschließlich 7.0.0 und neuer, sind von dieser Schwachstelle betroffen. Das bedeutet, dass alle Instanzen, die eine Version zwischen 7.0.0 und 8.3.0 einschließlich ausführen, von dieser Schwachstelle betroffen sind.

Es gibt eine Befehlsinjektionsschwachstelle in mehreren API-Endpunkten von Bitbucket Server und Data Center. Ein Angreifer mit Zugriff auf ein öffentliches Repository oder mit Leserechten auf ein privates Bitbucket-Repository kann beliebigen Code ausführen, indem er eine bösartige HTTP-Anfrage sendet.

Alle Versionen von Bitbucket Server und Datacenter, die nach 6.10.17 veröffentlicht wurden, einschließlich 7.0.0 und neuer, sind von dieser Schwachstelle betroffen. Das bedeutet, dass alle Instanzen, auf denen eine Version zwischen 7.0.0 und 8.3.0 einschließlich läuft, von dieser Schwachstelle betroffen sind. Atlassian hat für alle betroffenen Versionen von Bitbucket Server und Datacenter Bug-Fixes veröffentlicht, die hier aufgelistet werden.

Details zu CVE-2022-36804

Gerade bin ich auf Twitter über nachfolgenden Tweet auf die Veröffentlichung Breaking Bitbucket: Pre Auth Remote Command Execution (CVE-2022-36804 von assetnote.io gestoßen. In einem Blog-Beitrag vom 14. September 2022 legen deren Sicherheitsforscher die Details dieser Schwachstelle offen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.