Bitbucket Server および Data Center のセキュリティ勧告 2022-11-16
Bitbucket Server および Data Center - コマンド インジェクションの脆弱性 - CVE-2022-43781
要約 | CVE-2022-43781 - コマンド インジェクションの脆弱性 |
|---|---|
勧告のリリース日 | 2022 年 11 月 16 日 午前 10 時 PDT (太平洋標準時、ー7 時間) |
製品 |
|
CVE ID | CVE-2022-43781 |
脆弱性の概要
この勧告は、Bitbucket Server および Bitbucket Data Center のバージョン 7.0.0 で発生した重大なセキュリティ脆弱性を開示します。次のバージョンがこの脆弱性の影響を受けます。
Bitbucket Data Center および Server 7.0 から 7.21
Bitbucket Data Center および Server 8.0 から 8.4 (bitbucket.properties で mesh.enabled が false に設定されている場合)
Bitbucket Server および Data Center の環境変数を利用するコマンド インジェクションの脆弱性があります。自身のユーザー名の制御権を持つ攻撃者がこのコードを悪用してコードの実行権を得て、システムでコードを実行することができます。
この問題はこちらで追跡されています。 BSERV-13522 - Getting issue details... STATUS
Atlassian Cloud のサイトは影響を受けません。 Bitbucket に bitbucket.org ドメイン経由でアクセスしている場合、それはアトラシアンがホストしており、この脆弱性の影響を受けません。 |
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
影響を受けるバージョン
Bitbucket Server および Data Center の 7.0 から 7.21 のすべてのバージョンがこの脆弱性の影響を受けます。Bitbucket Server および Data Center のバージョン 8.0 から 8.4 は、bitbucket.properties で mesh.enabled=false である場合に、同様にこの脆弱性の影響を受けます。
製品 | 影響を受けるバージョン |
|---|---|
Bitbucket Server および Data Center |
bitbucket.properties で mesh.enabled=false が設定されている場合
|
修正済みバージョン
製品 | 修正済みバージョン |
|---|---|
Bitbucket Server および Data Center |
|
必要なアクション
アトラシアンは、影響を受けるすべての環境を上に記載された修正済みバージョン (あるいはそれ以降、詳細についてはこのページの "修正済みバージョン" を参照) のいずれかにアップグレードすることを推奨します。最新の Bitbucket Server および Data Center の最新バージョンの詳細についてはリリース ノートをご確認ください。Bitbucket の最新バージョンはダウンロード センターからダウンロードできます。よくある質問についてはこちらをクリックしてください。
問題の軽減策
この脆弱性を修正するには、影響を受ける個々の製品インストールを上記の修正済みバージョンに更新してください。
ご利用の Bitbucket インスタンスをアップグレードできない場合、一時的な軽減策として "パブリック サインアップ" を無効化できます。パブリック サインアップを無効化すると、攻撃が未認証の攻撃から認証済みの攻撃に変わるため、悪用のリスクを減らすことができます。この設定を無効化するには、[管理] > [認証] に移動して [パブリック サインアップを許可] チェックボックスを選択解除します。
パブリック サインアップが無効化された状態であっても、ADMIN または SYS_ADMIN の認証済みのユーザーは引き続きこの脆弱性を悪用できます。このため、この軽減策は一時的な手順として扱う必要があり、お客様には可能な限り早く修正済みバージョンにアップグレードすることが推奨されます。
Bitbucket Server and Data Center instances running PostgreSQL are not affected by the vulnerability.
謝辞
この脆弱性の発見につながる情報を @Ry0taK にご提供いただきました。
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細を FIRST.org でご確認ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 |