Bitbucket серверінде маңызды осалдық (CVE-2022-36804) анықталды, бұл git репозиторийлерімен жұмыс істеуге арналған веб-интерфейсті қолдануға арналған пакет, ол серверде еркін кодты орындау үшін жеке немесе жалпы репозиторийлерге оқу рұқсаты бар қашықтағы шабуылдаушыға мүмкіндік береді. аяқталған HTTP сұрауын жіберу арқылы. Мәселе 6.10.17 нұсқасынан бері бар және Bitbucket сервері мен Bitbucket деректер орталығының 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 және 8.3.1 шығарылымдарында шешілді. Бұл осалдық bitbucket.org бұлттық қызметінде пайда болмайды, бірақ тек олардың үй-жайларында орнатылған өнімдерге әсер етеді.
Қауіпсіздік зерттеушісі осалдықты бұрын белгісіз осалдықтарды анықтау үшін сыйақы беретін Bugcrowd Bug Bounty бастамасының бөлігі ретінде анықтады. Сыйақы 6 мың долларды құрады. Шабуыл әдісі мен пайдалану прототипі туралы мәліметтер патч жарияланғаннан кейін 30 күннен кейін ашылады деп уәде етілген. Түзетуді қолданбас бұрын жүйелеріңізге шабуыл қаупін азайту шарасы ретінде «feature.public.access=false» параметрін пайдаланып репозиторийлерге жалпы қолжетімділікті шектеу ұсынылады.
Ақпарат көзі: opennet.ru