Bitbucket服务器和数据中心远程执行代码漏洞警报

Bitbucket服务器和数据中心远程执行代码漏洞警报

最近，Bitbucket正式发布了一个安全公告，其中包含三个远程执行代码漏洞，并且漏洞级别至关重要。

Bitbucket是Atlassian拥有的基于Web的版本控制存储库托管服务，用于使用Mercurial或Git版本控制系统的源代码和开发项目。 Bitbucket提供商业计划和免费帐户。

该安全通报披露了三个远程执行代码漏洞：

• CVE-2019-15010
• CVE-2019-20097
• CVE-2019-15012

攻击者可以通过构造特定的攻击有效负载来利用上述漏洞进行攻击。成功利用攻击后，他可以在受害者的Bitbucket服务器和数据中心上执行任意命令。

我们认为漏洞级别很高，危害/影响范围很广。建议Bitbucket Server和数据中心的用户及时安装最新的补丁程序，以避免被黑客入侵。

CVE-2019-15010

从3.0.0开始的Bitbucket Server和Data Center版本通过某些用户输入字段具有“远程执行代码”漏洞。具有用户级别权限的远程攻击者可以利用此漏洞在受害者的系统上运行任意命令。使用特制的有效负载作为用户输入，攻击者可以在受害者的Bitbucket服务器或数据中心实例上执行任意命令。

CVE-2019-20097

从1.0.0开始的Bitbucket Server和Data Center版本通过接收后挂钩具有远程执行代码漏洞。有权将文件克隆并将其推送到受害人的Bitbucket服务器或数据中心实例上的存储库的远程攻击者可以利用此漏洞，使用包含特制内容的文件来在Bitbucket服务器或数据中心系统上执行任意命令。

CVE-2019-15012

> = 4.13的Bitbucket Server和数据中心版本通过编辑文件请求具有“远程执行代码”漏洞。如果用户Bitbucket Server或Data Center的运行权限为在以下位置写入文件，则对存储库具有写权限的远程攻击者可以使用编辑文件端点将任意文件写入受害者的Bitbucket Server或数据中心实例。那个目的地。在某些情况下，这可能导致受害者的Bitbucket Server实例执行任意代码。

用户，请升级Bitbucket Server或数据中心到最新版本。

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2020-01/162071.htm