Bitbucket серверт (CVE-2022-36804) чухал эмзэг байдал илэрсэн бөгөөд энэ нь git репозиторуудтай ажиллах вэб интерфэйсийг ашиглах багц бөгөөд энэ нь хувийн болон нийтийн репозиторыг унших эрх бүхий алсын халдагчдад сервер дээр дурын код ажиллуулах боломжийг олгодог. дууссан HTTP хүсэлтийг илгээх замаар. Асуудал 6.10.17 хувилбараас хойш гарч ирсэн бөгөөд Bitbucket Server болон Bitbucket Data Center-ийн 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.2.2, 8.3.1 хувилбаруудад шийдэгдсэн. Энэ эмзэг байдал нь bitbucket.org үүлэн үйлчилгээнд харагдахгүй бөгөөд зөвхөн өөрсдийн байранд суулгасан бүтээгдэхүүнүүдэд л нөлөөлнө.
Энэ эмзэг байдлыг аюулгүй байдлын судлаач илрүүлсэн бөгөөд энэ нь өмнө нь мэдэгддэггүй байсан сул талыг олж илрүүлэхэд урамшуулал олгодог Bugcrowd Bug Bounty санаачлагын нэг хэсэг юм. Шагнал нь 6 мянган доллар байв. Довтолгооны арга болон ашиглалтын прототипийн талаарх дэлгэрэнгүй мэдээллийг засвар хэвлэгдсэнээс хойш 30 хоногийн дараа илчлэх болно гэж амлаж байна. Нөхөөсийг хэрэглэхээс өмнө систем рүүгээ халдлагад өртөх эрсдэлийг бууруулах арга хэмжээний хувьд “feature.public.access=false” тохиргоог ашиглан репозиторуудад олон нийтийн хандалтыг хязгаарлахыг зөвлөж байна.
Эх сурвалж: opennet.ru