[English]In der Versionsverwaltung für Software-Entwicklungsprojekte, Atlassian Bitbucket, gibt es eine kritische Remote Command Execution Schwachstelle (CVE-2022-36804). Atlassian hatte Ende August 2022 bereits einen Sicherheitshinweise sowie ein Produkt-Update für die als kritisch eingestufte Schwachstelle veröffentlicht. Jetzt scheinen die Entdecker Details zur Schwachstelle veröffentlicht zu haben.
Anzeige
Atlassian Bitbucket
Atlassian Bitbucket ist ein webbasierter Onlinedienst zur Versionsverwaltung für Software-Entwicklungsprojekte. Der Dienst wurde ursprünglich als reines Mercurial-System entwickelt, jedoch am 3. Oktober 2011 um Unterstützung für Git erweitert. Die Wikipedia gibt an, dass 2014 über 330.000 Teams aus über 2,5 Millionen Entwicklern mit Bitbucket arbeiteten – neuere Daten habe ich nicht.
Atlassian Sicherheitswarnung zu Bitbucket
Als ich heute kurz recherchiert habe, bin ich auf die Sicherheitswarnung Bitbucket Server and Data Center – Command injection vulnerability – CVE-2022-36804 von Atlassian gestoßen. Zum 24. August 2022 warnen die Leute Command Injection-Schwachstelle CVE-2022-36804, die sowohl Bitbucket Server als auch das Bitbucket Data Center betrifft. Dazu heißt es:
Dieser Hinweis deckt eine kritische Sicherheitsschwachstelle auf, die in Version 7.0.0 von Bitbucket Server und Data Center eingeführt wurde. Alle Versionen, die nach 6.10.17 veröffentlicht wurden, einschließlich 7.0.0 und neuer, sind von dieser Schwachstelle betroffen. Das bedeutet, dass alle Instanzen, die eine Version zwischen 7.0.0 und 8.3.0 einschließlich ausführen, von dieser Schwachstelle betroffen sind.
Es gibt eine Befehlsinjektionsschwachstelle in mehreren API-Endpunkten von Bitbucket Server und Data Center. Ein Angreifer mit Zugriff auf ein öffentliches Repository oder mit Leserechten auf ein privates Bitbucket-Repository kann beliebigen Code ausführen, indem er eine bösartige HTTP-Anfrage sendet.
Alle Versionen von Bitbucket Server und Datacenter, die nach 6.10.17 veröffentlicht wurden, einschließlich 7.0.0 und neuer, sind von dieser Schwachstelle betroffen. Das bedeutet, dass alle Instanzen, auf denen eine Version zwischen 7.0.0 und 8.3.0 einschließlich läuft, von dieser Schwachstelle betroffen sind. Atlassian hat für alle betroffenen Versionen von Bitbucket Server und Datacenter Bug-Fixes veröffentlicht, die hier aufgelistet werden.
Anzeige
Details zu CVE-2022-36804
Gerade bin ich auf Twitter über nachfolgenden Tweet auf die Veröffentlichung Breaking Bitbucket: Pre Auth Remote Command Execution (CVE-2022-36804 von assetnote.io gestoßen. In einem Blog-Beitrag vom 14. September 2022 legen deren Sicherheitsforscher die Details dieser Schwachstelle offen.
Anzeige