Bitbucket Server および Data Center のセキュリティ勧告 2022-08-24
Bitbucket Server および Data Center - コマンド インジェクションの脆弱性 - CVE-2022-36804
要約 | CVE-2022-36804 - コマンド インジェクションの脆弱性 |
|---|---|
勧告のリリース日 | 2022 年 8 月 24 日 午前 10 時 PDT (太平洋標準時、ー7 時間) |
製品 |
|
CVE ID |
脆弱性の概要
この勧告は、Bitbucket Server および Bitbucket Data Center のバージョン 7.0.0 で発生した重大なセキュリティ脆弱性を開示します。 6.10.17 よりもあとにリリースされた、7.0.0 以降を含むすべてのバージョンが影響を受けます。つまり、7.0.0 から 8.3.0 までの任意のバージョン (8.3.0を含む) がこの脆弱性の影響を受けます。
Bitbucket Server および Data Center の複数の API エンドポイントにコマンド インジェクションの脆弱性があります。公開リポジトリへのアクセス権または非公開の Bitbucket リポジトリへの読み取り権限を持つ攻撃者は、悪意のある HTTP リクエストを送信することで任意のコードを実行できます。
この問題はこちらで追跡されています。 BSERV-13438 - Getting issue details... STATUS
Atlassian Cloud のサイトは影響を受けません。 Bitbucket を bitbucket.org ドメインで利用している場合、それはアトラシアンがホストしているものであり、この脆弱性の影響を受けません。 |
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
影響を受けるバージョン
6.10.17 よりもあとにリリースされた、7.0.0 以降を含むすべてのバージョンが影響を受けます。つまり、7.0.0 から 8.3.0 までの任意のバージョン (8.3.0を含む) がこの脆弱性の影響を受けます。
修正済みバージョン
必要なアクション
アトラシアンでは、ご利用のインスタンスをこのページ内の「修正済みバージョン」に記載されたいずれかのバージョンにアップグレードすることを推奨しています。最新の Bitbucket Server および Data Center の最新バージョンの詳細についてはリリース ノートをご確認ください。Bitbucket の最新バージョンはダウンロード センターからダウンロードできます。よくある質問についてはこちらをクリックしてください。
Bitbucket Mesh
Bitbucket Mesh ノードを構成済みである場合、それらを修正済みの対応 Mesh バージョンに更新する必要があります。Bitbucket Data Center バージョンとの互換性を持つ Mesh バージョンについては互換性マトリクスをご確認ください。対応するバージョンはダウンロード センターからダウンロードできます。
ご利用の Bitbucket インスタンスで Bitbucket Mesh が構成されているかどうか不明な場合、システム管理権限を持つユーザーとして [管理] > [Bitbucket Mesh] に移動します。ここにはすべての Mesh ノードが表示され、それぞれのアップグレードが必要です。一覧が空である場合はご利用のインスタンスで Mesh は構成されておらず、この追加のステップは不要です。
問題の軽減策
この脆弱性を修正するには、影響を受ける個々の製品インストールを上記の修正済みバージョンに更新してください。
Bitbucket をアップグレードできない場合、一時的な回避策として、feature.public.access=false を設定することで公開リポジトリをグローバルで無効化できます。これによって攻撃のベクトルが未認証の攻撃から認証済みの攻撃になります。ユーザー アカウントを持つ攻撃者は引き続き攻撃可能なため、これは完全な軽減策とは見なされません。
謝辞
この脆弱性は @TheGrandPew によって発見され、当社のバグ報奨金プログラムで報告されました。
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |