Bitbucket Server/Bitbucket Data Center Security Advisory 2020-01-15 日本語訳

Bitbucket Server/ Bitbucket Data Center - 複数のリモートからコード実行 (RCE)できる脆弱性

脆弱性の概要

このアドバイザリは、上記リストの「影響を受ける Bitbucket Server/ Data Center バージョン」に記載のBitbucket Server/ Data Center バージョンにおいて、以下の複数のクリティカルな深刻度のセキュリティ脆弱性を発表します。

• 特定のユーザー入力データを経由したリモートからのコード実行 - CVE-2019-15010
• Gitのpost-receiveフックを経由したリモートからのコード実行 - CVE-2019-20097

• ファイル編集のリクエストを経由したリモートからのコード実行 - CVE-2019-15012
  

特定のユーザー入力データを経由したリモートからのコード実行 - CVE-2019-15010

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Bitbucket Server/ Data Center の バージョン 3.0.0 以降に、特定のユーザー入力データを経由して、リモートからコード実行できる脆弱性があります。
Bitbucket User レベルの権限を持つ外部の攻撃者が、本脆弱性を突くことにより、システム上の任意のコマンドを実行できます。
特別に細工したユーザー入力データのペイロードを使用することにより、攻撃者はBitbucket Server/ Data Center インスタンス上で、任意のコマンドを実行できます。

この脆弱性が影響を受ける Bitbucket Server/ Data Center の バージョンは以下になります：

• 3.x.x, 4.x.x
• 5.0.0 - 5.16.10
• 6.0.0 - 6.0.10
• 6.1.0 - 6.1.8
• 6.2.0 - 6.2.6
• 6.3.0 - 6.3.5
• 6.4.0 - 6.4.3
• 6.5.0 - 6.5.2
• 6.6.0 - 6.6.2
• 6.7.0 - 6.7.2
• 6.8.0 - 6.8.1
• 6.9.0

この脆弱性は右記の課題で追跡できます。：https://jira.atlassian.com/browse/BSERV-12098

Gitのpost-receiveフックを経由したリモートからのコード実行 - CVE-2019-20097

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Bitbucket Server/ Data Center バージョン 1.0.0 以降に、Gitのpost-receiveフックを経由してリモートからコード実行できる脆弱性があります。
Bitbucket Server/ Data Centerのリポジトリに対してクローン、およびファイルをプッシュできる権限を持つ攻撃者が、この脆弱性を突いて、特別に細工したファイルを利用してBitbucket Server/ Data Center上で任意のコマンドを実行できます

この脆弱性が影響している Bitbucket Server/ Data Center の バージョンは以下になります：

• 1.x.x - 5.16.10
• 6.0.0 - 6.0.10
• 6.1.0 - 6.1.8
• 6.2.0 - 6.2.6
• 6.3.0 - 6.3.5
• 6.4.0 - 6.4.3
• 6.5.0 - 6.5.2
• 6.6.0 - 6.6.2
• 6.7.0 - 6.7.2
• 6.8.0 - 6.8.1
• 6.9.0

この脆弱性は右記の課題で追跡できます。：https://jira.atlassian.com/browse/BSERV-12099

ファイル編集のリクエストを経由したリモートからのコード実行 - CVE-2019-15012

深刻度

Atlassian は、Atlassian severity levelsで公開している尺度に従い、この脆弱性の深刻度を critical と評価しています。この評価は、critical, high, moderate、lowの段階でランク付けします。

これはAtlassian社の評価であり、実際の影響はお客さまの環境において調査しなければなりません。

説明

Bitbucket Server/ Data Center の バージョン 4.13.0以降に、ソースファイルを編集するリクエストを経由して、リモートからコードを実行できる脆弱性があります。
リポジトリへの書き込み権限を持つ外部の攻撃者は、Bitbucket Server/Data Centerのプロセス実行ユーザーが宛先（編集対象の）ファイルに書き込み権限を持っている状態で使用している場合、edit-file エンドポイントを利用して Bitbucket Server/Data Centerインスタンス上の任意ファイルを書き換えることができます。
場合によっては、Bitbucket Server インスタンスに対して任意のコードを実行できます。

この脆弱性が影響している Bitbucket Server/ Data Center の バージョンは以下になります：

• 4.13.x - 5.16.10
• 6.0.0 - 6.0.10
• 6.1.0 - 6.1.8
• 6.2.0 - 6.2.6
• 6.3.0 - 6.3.5
• 6.4.0 - 6.4.3
• 6.5.0 - 6.5.2
• 6.6.0 - 6.6.2
• 6.7.0 - 6.7.2
• 6.8.0 - 6.8.1
• 6.9.0

この脆弱性は右記の課題で追跡できます。：https://jira.atlassian.com/browse/BSERV-12100

あなたにしてほしいこと

Atlassian は、最新バージョンの 6.9.1 へアップグレードすることを推奨しています。Bitbucket Server/ Data Center の最新バージョンの詳細説明は、リリースノート をご確認ください。download center から Bitbucket Server/ Data Centerの最新のバージョンをダウンロードできます

最新バージョン (6.9.1)へアップグレードできない場合は:

緩和策

Bitbucket Server/ Data Centerをただちにアップグレードできない場合は、一時的な対応策として、以下の手順を実施してください。

• CVE-2019-15012については、以下の手順で edit-file 機能を無効化してください。
  

  • ＜Bitbucket_HOME＞/bitbucket.propertiesファイルに、 「feature.file.editor=false」を追加する
    設定反映にBitbucket Server/ Data Center の再起動が必要です。

  • 詳細はリンクをご確認ください: Bitbucket Server 設定プロパティ

CVE-2019-15010 と CVE-2019-20097については対応策はありません。 　そのため、早急に修正バージョンへのアップグレードが重要です。