Bitbucket Server and Data Center - Critical Severity Command Injection Vulnerability - CVE-2022-36804

脆弱性の概要

Atlassian 社は、このアドバイザリで、Bitbucket Server および Bitbucket Data Center のバージョン 7.0.0 で導入された重大な深刻度のセキュリティ脆弱性を開示しています。
7.0.0 から 8.3.0 の間の任意のバージョン（修正済みバージョン以外） を実行しているすべてのインスタンスがこの脆弱性の影響を受けます。

本脆弱性の セキュリティ問題の深刻度 を 重大 レベルと評価しています。

脆弱性の説明

Bitbucket Server および Data Center の複数の API エンドポイントに、コマンドインジェクションの脆弱性が存在します。
公開リポジトリにアクセスできる攻撃者、またはプライベートな Bitbucket リポジトリに読み取り権限を持つ攻撃者は、悪意のある HTTP リクエストを送信することで任意のコードを実行することができます。

この脆弱性は右記のページで追跡できます: https://jira.atlassian.com/browse/BSERV-13438

影響を受けるバージョン

Bitbucket Server および Datacenter の 7.0.0 から 8.3.0 までのすべてのバージョン（修正済みバージョン以外）が影響を受けます。

修正済みバージョン

対応策

アトラシアンでは、ご利用のインスタンスをこのページの「修正済みバージョン」に記載されているいずれかのバージョンにアップグレードすることを推奨しています。
Bitbucket Server および Data Center の最新バージョンの詳細な説明については リリースノート をご確認ください。
Bitbucket の最新バージョンは ダウンロードセンター からダウンロードしていただけます。よくある質問 (FAQ) については こちらをクリック してください。

Bitbucket Mesh をご利用の場合

Bitbucket Mesh ノードを設定している場合は、今回の修正を含む Mesh のバージョンへの更新が必要です。ご利用の Bitbucket Data Center バージョンとの互換性を持つ Mesh のバージョンについては 互換性マトリクス をご確認ください。対応するバージョンを ダウンロードセンター からダウンロードしていただけます。

ご利用の Bitbucket インスタンスで Bitbucket Mesh が設定されているかどうか不明な場合は、システム管理権限を持つユーザーでログインし、管理 > Bitbucket Mesh に移動します。
このページに Mesh ノードのリストが表示され、それぞれアップグレード操作が必要です。リストが空である場合はご利用のインスタンスに Mesh は設定されていないので、この追加のステップは不要です。

緩和策

Bitbucket をアップグレードできない場合は、ホームディレクトリ 配下にあるbitbucket.propertiesファイルに feature.public.access=falseを設定し、一時的な軽減策として公開リポジトリをグローバルで無効化します。（設定反映のためにサービス再起動が必要です）これにより、攻撃のベクトルが未認証の攻撃から認証済みの攻撃になります。
ユーザーアカウントを持つ攻撃者が引き続き攻撃に成功できるため、これを完全な緩和策と見なすことはできません。