Bitbucket Server和Bitbucket Data Center 清静误差危害通告

宣布时间 2020-01-17

误差编号和级别


CVE编号:CVE-2019-15010,危险级别:高危,CVSS分值:8.8

CVE编号:CVE-2019-20097,危险级别:高危,CVSS分值:8.8

CVE编号:CVE-2019-15012,危险级别:高危,CVSS分值:8.8


影响版本


Bitbucket Server and Data Center Versions:

All 1.x.x, 2.x.x, 3.x.x, 4.x.x versions

All 5.x.x versions before 5.16.11

All 6.0.x versions before 6.0.11

All 6.1.x versions before 6.1.9

All 6.2.x versions before 6.2.7

All 6.3.x versions before 6.3.6

All 6.4.x versions before 6.4.4

All 6.5.x versions before 6.5.3

All 6.6.x versions before 6.6.3

All 6.7.x versions before 6.7.3

All 6.8.x versions before 6.8.2

All 6.9.x versions before 6.9.1


误差概述


Bitbucket是ATLASSIAN公司提供的一个基于web的版本库托管服务,支持Mercurial和Git版本控制系统。


ATLASSIAN公司果真了其产品Bitbucket Server and Data Center的3个远程代码执行误差,这些误差影响 Bitbucket Server and Data Center的多个版本。误差详情如下:


CVE-2019-15010:

此误差影响从3.0.0最先的Bitbucket服务器和数据中心版本。具有用户级别权限的攻击者可通过结构特制的有用载荷作为用户输入,实验远程使用此误差,乐成使用时可以在受害者的Bitbucket服务器或数据中心实例上执行恣意下令。


CVE-2019-20097:

此误差影响从1.0.0最先的Bitbucket服务器和数据中心版本。攻击者在有权克隆文件并将其推送到受害者Bitbucket服务器或数据中心实例上的项目客栈的条件下,可通过使用包括特制内容的文件实验远程使用此误差,乐成使用时可在Bitbucket服务器或数据中心系统上执行恣意下令。


CVE-2019-15012:

此误差影响Bitbucket服务器和数据中心高于或即是4.13的版本。攻击者在对某个项目客栈具有写权限的情形下,可以通过对受害者的以可写权限运行的Bitbucket服务器或数据中心实例写入恣意文件实验远程使用此误差,乐成使用时可以致使受害者的Bitbucket服务器实例执行恣意代码。


误差验证


暂无POC/EXP。


修复建议


现在厂商已宣布升级补丁以修复误差,补丁获取链接:https://www.atlassian.com/software/bitbucket/download-archives。


参考链接


https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2020-01-15-985498238.html