Git ๋ฆฌํฌ์งํ ๋ฆฌ ์์ ์ ์ํ ์น ์ธํฐํ์ด์ค๋ฅผ ๋ฐฐํฌํ๊ธฐ ์ํ ํจํค์ง์ธ Bitbucket Server์์ ์ฌ๊ฐํ ์ทจ์ฝ์ (CVE-2022-36804)์ด ํ์ธ๋์์ต๋๋ค. ์ด๋ฅผ ํตํด ๊ฐ์ธ ๋๋ ๊ณต์ฉ ๋ฆฌํฌ์งํ ๋ฆฌ์ ๋ํ ์ฝ๊ธฐ ์ก์ธ์ค ๊ถํ์ด ์๋ ์๊ฒฉ ๊ณต๊ฒฉ์๊ฐ ์๋ฒ์์ ์์ ์ฝ๋๋ฅผ ์คํํ ์ ์์ต๋๋ค. ์๋ฃ๋ HTTP ์์ฒญ์ ๋ณด๋ด๋ฉด ๋ฉ๋๋ค. ์ด ๋ฌธ์ ๋ ๋ฒ์ 6.10.17๋ถํฐ ๋ฐ์ํ์ผ๋ฉฐ Bitbucket Server ๋ฐ Bitbucket Data Center ๋ฆด๋ฆฌ์ค 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2 ๋ฐ 8.3.1์์ ํด๊ฒฐ๋์์ต๋๋ค. ์ด ์ทจ์ฝ์ ์ bitbucket.org ํด๋ผ์ฐ๋ ์๋น์ค์๋ ๋ํ๋์ง ์์ผ๋ฉฐ ํด๋น ์ฌ์ดํธ์ ์ค์น๋ ์ ํ์๋ง ์ํฅ์ ๋ฏธ์นฉ๋๋ค.
์ด ์ทจ์ฝ์ ์ ์ด์ ์ ์๋ ค์ง์ง ์์ ์ทจ์ฝ์ ์ ์๋ณํ ๋๊ฐ๋ก ๋ณด์์ ์ ๊ณตํ๋ Bugcrowd Bug Bounty ์ด๋์
ํฐ๋ธ์ ์ผ๋ถ๋ก ๋ณด์ ์ฐ๊ตฌ์์ ์ํด ์๋ณ๋์์ต๋๋ค. ๋ณด์๊ธ์ 6 ๋ฌ๋ฌ์์ต๋๋ค. ๊ณต๊ฒฉ ๋ฐฉ๋ฒ๊ณผ ์ต์คํ๋ก์ ํ๋กํ ํ์
์ ๋ํ ์์ธํ ๋ด์ฉ์ ํจ์น ๊ณต๊ฐ ํ 30์ผ ํ์ ๊ณต๊ฐ๋ ์์ ์
๋๋ค. ํจ์น๋ฅผ ์ ์ฉํ๊ธฐ ์ ์ ์์คํ
์ ๋ํ ๊ณต๊ฒฉ ์ํ์ ์ค์ด๊ธฐ ์ํ ์กฐ์น๋ก "feature.public.access=false" ์ค์ ์ ์ฌ์ฉํ์ฌ ๋ฆฌํฌ์งํ ๋ฆฌ์ ๋ํ ๊ณต๊ฐ ์ก์ธ์ค๋ฅผ ์ ํํ๋ ๊ฒ์ด ์ข์ต๋๋ค.
์ถ์ฒ : opennet.ru