詳細情報

Bitbucket Data Center - 移行ツールRCEでのパストラバーサル - CVE-2019-3397

Summary	CVE-2019-3397 - Path traversal in the migration tool
Advisory Release Date	22 May 2019, 10:00 AM PDT (Pacific Time, -7 hours)
Product	Bitbucket Data Center (注意：Data Cener ライセンスでない Bitbucket Server は影響を受けません)
Affected Bitbucket Data Center Versions	5.13.0 <= version < 5.13.6 5.14.0 <= version < 5.14.4 5.15.0 <= version < 5.15.3 5.16.0 <= version < 5.16.3 6.0.0 <= version < 6.0.3 6.1.0 <= version 6.1.2
Fixed Bitbucket Data Center Versions	5.13.6 5.14.4 5.15.3 5.16.3 6.0.3 6.1.2
CVE ID(s)	CVE-2019-3397

脆弱性の概要

このアドバイザリは、Bitbucket Data Centerのバージョン5.13.0で導入された重大なセキュリティの脆弱性を明らかにしています。

Bitbucket Data Centerをバージョン 5.13.6、5.14.4、5.15.3、5.16.3、6.0.3または6.1.2にアップグレードしたお客様は影響を受けません。

以下の Bitbucket Data Centerバージョンをインストールしているお客様は影響を受けます：

5.13.6 以前の 5.13.x すべて
5.14.4 以前の 5.14.x すべて
5.15.3 以前の 5.15.x すべて
5.16.3 以前の 5.16.x すべて
6.0.3 以前の 6.0.xすべて
6.1.2 以前の 6.1.xすべて

この脆弱性を解決するために、Bitbucket Data Centerをただちにアップグレードしてください。

移行ツールRCEでのパストラバーサル（CVE-2019-3397）について

重大度

Atlassianでは、この脆弱性を Severity Levels for Security Issues におけるクリティカル（critical）と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。
これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Bitbucket Data Center の、Data Center 移行ツールにパストラバーサルの脆弱性がありました。
認証された管理者権限を持つリモートの攻撃者は、このパストラバーサルの脆弱性を悪用して任意の場所にファイルを書き込むことができ、リモートでコードが実行される可能性があります。
Data Cener ライセンスでない Bitbucket Server バージョンはこの脆弱性の影響を受けません。

この問題はこの課題で追跡できます。： https://jira.atlassian.com/browse/BSERV-11706

謝辞

この脆弱性は、RIPS Technologies の Johannes Moritz により発見されました。

あなたにしてほしいこと

Atlassian は最新のバージョンにアップグレードすることをお勧めします。 Bitbucket Data Center の最新バージョンの詳細については、リリースノートを参照してください。
ダウンロードセンターから Bitbucket Data Center の最新バージョンをダウンロードできます。

Bitbucket Data Center をバージョン 6.1.2 以上にアップグレードします。

バージョン 6.1.2 へアップグレードできない場合は:

以下のバージョンを利用している場合は...	以下のバージョンへアップグレードしてください
5.13.x	5.13.6
5.14.x	5.14.4
5.15.x	5.15.3
5.16.x	5.16.3
6.0.x	6.0.3

緩和策

これは bitbucket.properties でプロパティ feature.data.center.migration.import = false を設定し、インポート機能を機能フラグを介して無効にすることで、この脆弱性が軽減されます。この場合でもエクスポート機能は引き続き機能することに注意してください。

それでもインポートタスクを実行する必要がある場合は、孤立したクラスタノード（ユーザーおよび管理者からはアクセスできないが、クラスタには接続されていて、sysadminからはアクセス可能）で、
node-local bitbucket.properties ファイルに.center.migration.import = trueを設定して、機能を有効にします。インポートはこのノードと直接通信することで開始できますが、他のノードではまだ無効になっています。

サポート

もしこのアドバイザリのメールが届かなく、今後メールの受け取りを希望する場合は、https://my.atlassian.com/email より Alerts emailを購読してください。

サポートされていないブラウザーです