အရေးကြီးသော အားနည်းချက် (CVE-2022-36804) ကို git repositories နှင့် အလုပ်လုပ်ရန်အတွက် ဝဘ်အင်တာဖေ့စ်ကို အသုံးပြုရန်အတွက် ပက်ကေ့ဂျ် Bitbucket ဆာဗာတွင် ဖော်ထုတ်ထားပြီး၊ အဝေးမှ တိုက်ခိုက်သူအား သီးသန့် သို့မဟုတ် အများသူငှာ သိုလှောင်ရာနေရာများသို့ ဖတ်ရှုခွင့်ရှိသော မတရားကုဒ်ကို ဆာဗာပေါ်တွင် မတရားကုဒ်များ လုပ်ဆောင်ခွင့်ပြုသည်။ ပြီးမြောက်သော HTTP တောင်းဆိုချက်ကို ပေးပို့ခြင်းဖြင့် ပြဿနာသည် ဗားရှင်း 6.10.17 ကတည်းက ရှိနေခဲ့ပြီး Bitbucket ဆာဗာတွင် ဖြေရှင်းပြီးဖြစ်ပြီး Bitbucket Data Center မှ 7.6.17၊ 7.17.10၊ 7.21.4၊ 8.0.3၊ 8.2.2 နှင့် 8.3.1 တို့ကို ထုတ်ဝေသည်။ အားနည်းချက်သည် bitbucket.org cloud ဝန်ဆောင်မှုတွင် မပေါ်သော်လည်း ၎င်းတို့၏ ဝုဏ်အတွင်း ထည့်သွင်းထားသော ထုတ်ကုန်များကိုသာ သက်ရောက်မှုရှိပါသည်။
ယခင်က မသိရသေးသော အားနည်းချက်များကို ဖော်ထုတ်ခြင်းအတွက် ဆုလာဘ်များပေးသည့် Bugcrowd Bug Bounty ပဏာမအစီအစဉ်၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် အားနည်းချက်ကို လုံခြုံရေးသုတေသီတစ်ဦးက ဖော်ထုတ်တွေ့ရှိခဲ့သည်။ ဆုကြေးငွေမှာ ဒေါ်လာ ၆ သောင်းဖြစ်သည်။ တိုက်ခိုက်မှုနည်းလမ်းနှင့် exploit ရှေ့ပြေးပုံစံအကြောင်း အသေးစိတ်အချက်အလက်များကို patch လွှင့်တင်ပြီး ရက် 6 တွင် ထုတ်ဖော်မည်ဟု ကတိပြုထားသည်။ patch ကိုအသုံးမပြုမီ သင့်စနစ်များပေါ်တွင်တိုက်ခိုက်မှုဖြစ်နိုင်ခြေကိုလျှော့ချရန် အတိုင်းအတာတစ်ခုအနေဖြင့်၊ "feature.public.access=false" ဆက်တင်ကို အသုံးပြု၍ သိုလှောင်ရာများသို့ အများသူငှာဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် အကြံပြုအပ်ပါသည်။
source: opennet.ru