Bitbucket Server/Bitbucket Data Center Security Advisory 2020-01-15 日本語訳

Atlassian 社のセキュリティアドバイザリ

Bitbucket Server/ Bitbucket Data Center - 複数のリモートからコード実行 (RCE)できる脆弱性

要約

Bitbucket Server/Bitbucket Data Center Security Advisory 2020-01-15 - 複数のリモートからコード実行 (RCE)できる脆弱性

アドバイザリのリリース日

 10 AM PDT (Pacific Time, -7 hours)

対象製品

Bitbucket Server

Bitbucket Data Center

影響を受ける Bitbucket Server/ Data Center バージョン

  • 1.x.x, 2.x.x, 3.x.x, 4.x.x
  • 5.0.0 - 5.16.10
  • 6.0.0 - 6.0.10
  • 6.1.0 - 6.1.8
  • 6.2.0 - 6.2.6
  • 6.3.0 - 6.3.5
  • 6.4.0 - 6.4.3
  • 6.5.0 - 6.5.2
  • 6.6.0 - 6.6.2
  • 6.7.0 - 6.7.2
  • 6.8.0 - 6.8.1
  • 6.9.0

修正された Bitbucket Server/ Data Center バージョン

  • 5.16.11
  • 6.0.11
  • 6.1.9
  • 6.2.7
  • 6.3.6
  • 6.4.4
  • 6.5.3
  • 6.6.3
  • 6.7.3
  • 6.8.2
  • 6.9.1
CVE ID(s)
  • CVE-2019-15010
  • CVE-2019-20097
  • CVE-2019-15012


脆弱性の概要

このアドバイザリは、上記リストの「影響を受ける Bitbucket Server/ Data Center バージョン」に記載のBitbucket Server/ Data Center バージョンにおいて、以下の複数のクリティカルな深刻度セキュリティ脆弱性を発表します

  • 特定のユーザー入力データを経由したリモートからのコード実行 - CVE-2019-15010
  • Gitのpost-receiveフックを経由したリモートからのコード実行 - CVE-2019-20097
  • ファイル編集のリクエストを経由したリモートからのコード実行 - CVE-2019-15012

上記リストの「影響を受ける Bitbucket Server/ Data Center バージョン」に記載のバージョンのBitbucket Server/ Data Center をダウンロード・インストールした お客様が影響します。

これらの脆弱性に対応するために Bitbucket Server/ Data Center を直ちにアップグレードしてください。

Bitbucket Cloud をご利用のお客様へは影響はございません。

 5.16.11, 6.0.11, 6.1.9, 6.2.7, 6.3.6, 6.4.4, 6.5.3, 6.6.3, 6.7.3, 6.8.2, 6.9.1 、もしくはそれ以上のバージョンへ Bitbucket Server/ Data Centerを アップグレードしたお客様は影響ございません。

特定のユーザー入力データを経由したリモートからのコード実行 - CVE-2019-15010

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Bitbucket Server/ Data Center の バージョン 3.0.0 以降に、特定のユーザー入力データを経由して、リモートからコード実行できる脆弱性があります。
Bitbucket User レベルの権限を持つ外部の攻撃者が、本脆弱性を突くことにより、システム上の任意のコマンドを実行できます。
特別に細工したユーザー入力データのペイロードを使用することにより、攻撃者はBitbucket Server/ Data Center インスタンス上で、任意のコマンドを実行できます。

この脆弱性が影響を受ける Bitbucket Server/ Data Center の バージョンは以下になります:

  • 3.x.x, 4.x.x
  • 5.0.0 - 5.16.10
  • 6.0.0 - 6.0.10
  • 6.1.0 - 6.1.8
  • 6.2.0 - 6.2.6
  • 6.3.0 - 6.3.5
  • 6.4.0 - 6.4.3
  • 6.5.0 - 6.5.2
  • 6.6.0 - 6.6.2
  • 6.7.0 - 6.7.2
  • 6.8.0 - 6.8.1
  • 6.9.0


この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/BSERV-12098

Gitのpost-receiveフックを経由したリモートからのコード実行 - CVE-2019-20097

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Bitbucket Server/ Data Center バージョン 1.0.0 以降に、Gitのpost-receiveフックを経由してリモートからコード実行できる脆弱性があります。
Bitbucket Server/ Data Centerのリポジトリに対してクローン、およびファイルをプッシュできる権限を持つ攻撃者が、この脆弱性を突いて、特別に細工したファイルを利用してBitbucket Server/ Data Center上で任意のコマンドを実行できます

この脆弱性が影響している Bitbucket Server/ Data Center の バージョンは以下になります:

  • 1.x.x - 5.16.10
  • 6.0.0 - 6.0.10
  • 6.1.0 - 6.1.8
  • 6.2.0 - 6.2.6
  • 6.3.0 - 6.3.5
  • 6.4.0 - 6.4.3
  • 6.5.0 - 6.5.2
  • 6.6.0 - 6.6.2
  • 6.7.0 - 6.7.2
  • 6.8.0 - 6.8.1
  • 6.9.0


この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/BSERV-12099

ファイル編集のリクエストを経由したリモートからのコード実行 - CVE-2019-15012

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Bitbucket Server/ Data Center の バージョン 4.13.0以降に、ソースファイルを編集するリクエストを経由して、リモートからコードを実行できる脆弱性があります。
リポジトリへの書き込み権限を持つ外部の攻撃者は、Bitbucket Server/Data Centerのプロセス実行ユーザーが宛先(編集対象の)ファイルに書き込み権限を持っている状態で使用している場合、edit-file エンドポイントを利用して Bitbucket Server/Data Centerインスタンス上の任意ファイルを書き換えることができます。
場合によっては、Bitbucket Server インスタンスに対して任意のコードを実行できます。

この脆弱性が影響している Bitbucket Server/ Data Center の バージョンは以下になります:

  • 4.13.x - 5.16.10
  • 6.0.0 - 6.0.10
  • 6.1.0 - 6.1.8
  • 6.2.0 - 6.2.6
  • 6.3.0 - 6.3.5
  • 6.4.0 - 6.4.3
  • 6.5.0 - 6.5.2
  • 6.6.0 - 6.6.2
  • 6.7.0 - 6.7.2
  • 6.8.0 - 6.8.1
  • 6.9.0

この脆弱性は右記の課題で追跡できます。:https://jira.atlassian.com/browse/BSERV-12100

あなたにしてほしいこと

Atlassian は、最新バージョンの 6.9.1 へアップグレードすることを推奨しています。Bitbucket Server/ Data Center の最新バージョンの詳細説明は、リリースノート をご確認ください。download center から Bitbucket Server/ Data Centerの最新のバージョンをダウンロードできます

最新バージョン (6.9.1)へアップグレードできない場合は:

以下のフィーチャーバージョンを利用の場合は…

…以下のバグフィクスバージョンへアップグレードする:

1.x.x, 2.x.x, 3.x.x, 4.x.x or 5.x.x

5.16.11

6.0.x

6.0.11
6.1.x6.1.9
6.2.x6.2.7
6.3.x6.3.6
6.4.x6.4.4
6.5.x6.5.3
6.6.x6.6.3
6.7.x6.7.3
6.8.x6.8.2


緩和策

Bitbucket Server/ Data Centerをただちにアップグレードできない場合は、一時的な対応策として、以下の手順を実施してください。

  • CVE-2019-15012については、以下の手順で edit-file 機能を無効化してください。
    • <Bitbucket_HOME>/bitbucket.propertiesファイルに、 「feature.file.editor=false」を追加する
      (警告)設定反映にBitbucket Server/ Data Center の再起動が必要です。

    • 詳細はリンクをご確認ください: Bitbucket Server 設定プロパティ

CVE-2019-15010 と CVE-2019-20097については対応策はありません。  そのため、早急に修正バージョンへのアップグレードが重要です。


リックソフト株式会社 は、日本でトップレベルのAtlassian Platinum Solution Partnerです。
大規模ユーザーへの対応実績が認められたEnterpriseの認定をうけ、高度なトレーニング要件をクリアし、小規模から大規模のお客様まで対応可能な実績を示したパートナー企業です。


Copyright © Ricksoft Co., Ltd. プライバシーポリシー お問い合わせ