-
09/04/2020
-
85
-
553 bài viết
Atlassian vá lỗ hổng nghiêm trọng trong Bitbucket Server và Data Center
Atlassian đã phát hành bản vá để khắc phục các lỗ hổng nghiêm trọng ảnh hưởng đến sản phẩm Bitbucket Server và Data Center.
CVE-2022-43781 và CVE-2022-43782 đều được xếp hạng điểm CVSS 9/10. Trong đó CVE-2022-43781 là lỗ hổng chèn lệnh (command injection) bằng cách sử dụng các biến môi trường trong phần mềm, có thể cho phép kẻ tấn công kiểm soát tên người dùng để chiếm quyền thực thi mã trên hệ thống. Lỗ hổng ảnh hưởng đến phiên bản 7.0 đến 7.21 và 8.0 đến 8.4 (chỉ khi mesh.enabled thành false trong bitbucket.properties).
Hãng đưa ra giải pháp tạm thời bằng cách khuyến cáo người dùng tắt tùy chọn "Public Signup" (Administration > Authentication). Tuy nhiên, người dùng đã được xác thực như ADMIN hoặc SYS_ADMIN vẫn có khả năng khai thác lỗ hổng khi đã tắt "Public Signup".
Lỗ hổng thứ hai là CVE-2022-43782 liên quan đến cấu hình sai trong Crowd Server và Data Center có thể cho phép kẻ tấn công
gọi các điểm cuối API có đặc quyền nhưng chỉ trong trường hợp đang kết nối từ địa chỉ IP được thêm vào cấu hình Remote Address.
Người dùng đã nâng cấp từ phiên bản trước Crowd 3.0.0 khó có thể bị ảnh hưởng bởi CVE-2022-43782.
Các lỗ hổng trong Atlassian và Bitbucket đang bị khai thác trên thực tế nên người dùng cần phải nhanh chóng cập nhật các bản vá càng sớm càng tốt.
CVE-2022-43781 và CVE-2022-43782 đều được xếp hạng điểm CVSS 9/10. Trong đó CVE-2022-43781 là lỗ hổng chèn lệnh (command injection) bằng cách sử dụng các biến môi trường trong phần mềm, có thể cho phép kẻ tấn công kiểm soát tên người dùng để chiếm quyền thực thi mã trên hệ thống. Lỗ hổng ảnh hưởng đến phiên bản 7.0 đến 7.21 và 8.0 đến 8.4 (chỉ khi mesh.enabled thành false trong bitbucket.properties).
Hãng đưa ra giải pháp tạm thời bằng cách khuyến cáo người dùng tắt tùy chọn "Public Signup" (Administration > Authentication). Tuy nhiên, người dùng đã được xác thực như ADMIN hoặc SYS_ADMIN vẫn có khả năng khai thác lỗ hổng khi đã tắt "Public Signup".
Lỗ hổng thứ hai là CVE-2022-43782 liên quan đến cấu hình sai trong Crowd Server và Data Center có thể cho phép kẻ tấn công
gọi các điểm cuối API có đặc quyền nhưng chỉ trong trường hợp đang kết nối từ địa chỉ IP được thêm vào cấu hình Remote Address.
Người dùng đã nâng cấp từ phiên bản trước Crowd 3.0.0 khó có thể bị ảnh hưởng bởi CVE-2022-43782.
Các lỗ hổng trong Atlassian và Bitbucket đang bị khai thác trên thực tế nên người dùng cần phải nhanh chóng cập nhật các bản vá càng sớm càng tốt.
Theo Thehackernews
Chỉnh sửa lần cuối: