要約 | Bitbucket Server/Bitbucket Data Center Security Advisory 2020-01-15 - 複数のリモートからコード実行 (RCE)できる脆弱性 |
---|---|
アドバイザリのリリース日 | 10 AM PDT (Pacific Time, -7 hours) |
対象製品 | Bitbucket Server Bitbucket Data Center |
影響を受ける Bitbucket Server/ Data Center バージョン |
|
修正された Bitbucket Server/ Data Center バージョン |
|
CVE ID(s) |
|
このアドバイザリは、上記リストの「影響を受ける Bitbucket Server/ Data Center バージョン」に記載のBitbucket Server/ Data Center バージョンにおいて、以下の複数のクリティカルな深刻度のセキュリティ脆弱性を発表します。
ファイル編集のリクエストを経由したリモートからのコード実行 - CVE-2019-15012
上記リストの「影響を受ける Bitbucket Server/ Data Center バージョン」に記載のバージョンのBitbucket Server/ Data Center をダウンロード・インストールした お客様が影響します。 これらの脆弱性に対応するために Bitbucket Server/ Data Center を直ちにアップグレードしてください。 |
Bitbucket Cloud をご利用のお客様へは影響はございません。 |
5.16.11, 6.0.11, 6.1.9, 6.2.7, 6.3.6, 6.4.4, 6.5.3, 6.6.3, 6.7.3, 6.8.2, 6.9.1 、もしくはそれ以上のバージョンへ Bitbucket Server/ Data Centerを アップグレードしたお客様は影響ございません。 |
Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
Bitbucket Server/ Data Center の バージョン 3.0.0 以降に、特定のユーザー入力データを経由して、リモートからコード実行できる脆弱性があります。
Bitbucket User レベルの権限を持つ外部の攻撃者が、本脆弱性を突くことにより、システム上の任意のコマンドを実行できます。
特別に細工したユーザー入力データのペイロードを使用することにより、攻撃者はBitbucket Server/ Data Center インスタンス上で、任意のコマンドを実行できます。
この脆弱性が影響を受ける Bitbucket Server/ Data Center の バージョンは以下になります:
この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/BSERV-12098
Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
Bitbucket Server/ Data Center バージョン 1.0.0 以降に、Gitのpost-receiveフックを経由してリモートからコード実行できる脆弱性があります。
Bitbucket Server/ Data Centerのリポジトリに対してクローン、およびファイルをプッシュできる権限を持つ攻撃者が、この脆弱性を突いて、特別に細工したファイルを利用してBitbucket Server/ Data Center上で任意のコマンドを実行できます
この脆弱性が影響している Bitbucket Server/ Data Center の バージョンは以下になります:
この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/BSERV-12099
Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。
Bitbucket Server/ Data Center の バージョン 4.13.0以降に、ソースファイルを編集するリクエストを経由して、リモートからコードを実行できる脆弱性があります。
リポジトリへの書き込み権限を持つ外部の攻撃者は、Bitbucket Server/Data Centerのプロセス実行ユーザーが宛先(編集対象の)ファイルに書き込み権限を持っている状態で使用している場合、edit-file エンドポイントを利用して Bitbucket Server/Data Centerインスタンス上の任意ファイルを書き換えることができます。
場合によっては、Bitbucket Server インスタンスに対して任意のコードを実行できます。
この脆弱性が影響している Bitbucket Server/ Data Center の バージョンは以下になります:
この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/BSERV-12100
Atlassian は、最新バージョンの 6.9.1 へアップグレードすることを推奨しています。Bitbucket Server/ Data Center の最新バージョンの詳細説明は、リリースノート をご確認ください。download center から Bitbucket Server/ Data Centerの最新のバージョンをダウンロードできます
最新バージョン (6.9.1)へアップグレードできない場合は:
以下のフィーチャーバージョンを利用の場合は… | …以下のバグフィクスバージョンへアップグレードする: |
---|---|
1.x.x, 2.x.x, 3.x.x, 4.x.x or 5.x.x | 5.16.11 |
6.0.x | 6.0.11 |
6.1.x | 6.1.9 |
6.2.x | 6.2.7 |
6.3.x | 6.3.6 |
6.4.x | 6.4.4 |
6.5.x | 6.5.3 |
6.6.x | 6.6.3 |
6.7.x | 6.7.3 |
6.8.x | 6.8.2 |
Bitbucket Server/ Data Centerをただちにアップグレードできない場合は、一時的な対応策として、以下の手順を実施してください。
<Bitbucket_HOME>/bitbucket.propertiesファイルに、 「feature.file.editor=false」を追加する
設定反映にBitbucket Server/ Data Center の再起動が必要です。
詳細はリンクをご確認ください: Bitbucket Server 設定プロパティ
CVE-2019-15010 と CVE-2019-20097については対応策はありません。 そのため、早急に修正バージョンへのアップグレードが重要です。