Contents


Contenu


Inhalt



Date

 

Product

  • Bitbucket Server

  • Bitbucket Data Center

VulnerabilityCritical
CVECVE-2022-36804
Official linkhttps://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html




Critical Severity Command Injection Vulnerability - CVE-2022-36804

Dear customer,

on the 24th of August 2022 at 7 PM CEST, Atlassian issued a Security Advisory for Bitbucket Server and Bitbucket Data Center.

Atlassian Cloud sites are not affected. If you access Bitbucket via a bitbucket.org domain, it is hosted by Atlassian and you are not affected by the vulnerability.

What you need to know

This advisory discloses a critical severity security vulnerability which was introduced in version 7.0.0 of Bitbucket Server and Data Center. All versions released after 6.10.17 including 7.0.0 and newer are affected, this means that all instances that are running any versions between 7.0.0 and 8.3.0 inclusive are affected by this vulnerability.

Affected Versions

All versions of Bitbucket Server and Datacenter released after 6.10.17 including 7.0.0 and newer are affected, this means that all instances that are running any versions between 7.0.0 and 8.3.0 inclusive are affected by this vulnerability.

Fixed Versions

Supported Version

Bug Fix Release

Bitbucket Server and Data Center 7.6

7.6.17 (LTS) or newer

Bitbucket Server and Data Center 7.17

7.17.10 (LTS) or newer

Bitbucket Server and Data Center 7.21

7.21.4 (LTS) or newer

Bitbucket Server and Data Center 8.0

8.0.3 or newer

Bitbucket Server and Data Center 8.1

8.1.3 or newer

Bitbucket Server and Data Center 8.2

8.2.2 or newer

Bitbucket Server and Data Center 8.3

8.3.1 or newer


What should I do?



You use Bitbucket Server or Data Center in a version listed in Affected Versions.

Update

Update to a version listed in Fixed Versions.

bitvoodoo recommends using the latest LTS releases of Bitbucket.

Bitbucket Mesh

If you have configured Bitbucket Mesh nodes, these will need to be updated with to the corresponding version of Mesh that includes the fix. To find the version of Mesh compatible with Bitbucket Data Center version, please check the  compatibility matrix . You can download the corresponding version from the download center.

If you are unsure if your Bitbucket instance has Bitbucket Mesh configured, as a user with system administration privileges navigate to  Administration > Bitbucket Mesh, this page will list Mesh nodes each of which will need to be upgraded.  If the list is empty, your instance does not have Mesh configured and this extra step is not required.

Workaround

To remediate this vulnerability, update each affected product installation to a fixed version listed above.

If you’re unable to upgrade Bitbucket, a temporary mitigation step is to turn off public repos globally by setting feature.public.access=false as this will change this attack vector from an unauthorized attack to an authorized attack. This can not be considered a complete mitigation as an attacker with a user account could still succeed.


You use Bitbucket Cloud.

You are not affected by this Security Advisory.

No need for actions





Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.


Vulnérabilité d'injection de commande de gravité critique - CVE-2022-36804

Chère cliente, cher client

Le 24 août 2022 à 19 heures CEST, Atlassian a publié un avis de sécurité pour Bitbucket Server et Bitbucket Data Center.

Les sites Atlassian Cloud ne sont pas concernés. Si vous accédez à Bitbucket via un domaine bitbucket.org, il est hébergé par Atlassian et vous n'êtes pas affecté par la vulnérabilité.

Ce que vous devez savoir

Cet avis divulgue une vulnérabilité de sécurité de gravité critique qui a été introduite dans la version 7.0.0 de Bitbucket Server et Data Center. Toutes les versions postérieures à la version 6.10.17, y compris les versions 7.0.0 et plus récentes, sont concernées, ce qui signifie que toutes les instances exécutant une version comprise entre 7.0.0 et 8.3.0 inclus sont affectées par cette vulnérabilité.

Versions touchées

Toutes les versions de Bitbucket Server et Datacenter publiées après la version 6.10.17, y compris les versions 7.0.0 et plus récentes, sont concernées, ce qui signifie que toutes les instances exécutant des versions comprises entre 7.0.0 et 8.3.0 inclus sont affectées par cette vulnérabilité.

Versions protégées

Versions supportées

Mise à jour Bug Fix 

Bitbucket Server et Data Center 7.6

7.6.17 (LTS) ou plus récente

Bitbucket Server et Data Center 7.17

7.17.10 (LTS) ou plus récente

Bitbucket Server et Data Center 7.21

7.21.4 (LTS) ou plus récente

Bitbucket Server et Data Center 8.0

8.0.3 ou plus récente

Bitbucket Server et Data Center 8.1

8.1.3 ou plus récente

Bitbucket Server et Data Center 8.2

8.2.2 ou plus récente

Bitbucket Server et Data Center 8.3

8.3.1 ou plus récente


Que dois-je faire ?



Vous utilisez Bitbucket Server ou Data Center dans une version listée dans Versions affectées.

Mise à jour

Effectuez une mise à jour vers une version répertoriée dans Versions fixes.

bitvoodoo recommande d'utiliser les dernières versions LTS de Bitbucket. 

Bitbucket Mesh

Si vous avez configuré des nœuds Bitbucket Mesh, ceux-ci devront être mis à jour avec la version correspondante de Mesh qui inclut le correctif. Pour trouver la version de Mesh compatible avec la version du centre de données de Bitbucket, veuillez vérifier la page compatibility matrix . Vous pouvez télécharger la version correspondante depuis le centre de téléchargement.

Si vous n'êtes pas sûr que votre instance de Bitbucket soit configurée avec Bitbucket Mesh, en tant qu'utilisateur disposant de privilèges d'administration du système, naviguez vers Administration > Bitbucket Mesh, cette page énumérera les nœuds Mesh qui devront tous être mis à niveau.  Si la liste est vide, votre instance n'a pas configuré Mesh et cette étape supplémentaire n'est pas nécessaire.

Contournement

Pour remédier à cette vulnérabilité, mettez à jour chaque installation du produit concerné vers la version corrigée indiquée ci-dessus.

Si vous ne pouvez pas mettre à jour Bitbucket, une mesure d'atténuation temporaire consiste à désactiver globalement les dépôts publics en définissant feature.public.access=false car cela changera ce vecteur d'attaque d'une attaque non autorisée à une attaque autorisée. Cela ne peut pas être considéré comme une atténuation complète car un attaquant disposant d'un compte utilisateur pourrait encore réussir.


Vous utilisez Bitbucket Cloud.

Vous n'êtes pas concerné par cet avis de sécurité.

Pas d'action à effectuer





Support

Si vous avez encore des questions ou des préoccupations concernant cet avis, veuillez contacter le support bitvoodoo via support.bitvoodoo.ch.


Critical Severity Command Injection Vulnerability - CVE-2022-36804

Sehr geehrte Kundinnen und Kunden

Am 24. August 2022, 19 Uhr MESZ, hat Atlassian ein Security Advisory für Bitbucket Server und Bitbucket Data Center veröffentlicht.
Bitbucket Cloud ist nicht betroffen. Wenn Sie über Bitbucket über eine bitbucket.org Domäne zugreifen, erfolgt das Hosting über Atlassian und Sie sind nicht von der Sicherheitslücke betroffen.

Was Sie wissen müssen

Dieser Hinweis deckt eine kritische Sicherheitslücke auf, die in Version 7.0.0 von Bitbucket Server und Data Center eingeführt wurde. Alle Versionen, die nach 6.10.17 veröffentlicht wurden, einschließlich 7.0.0 und neuer, sind von dieser Schwachstelle betroffen. Das bedeutet, dass alle Instanzen, die eine Version zwischen 7.0.0 und 8.3.0 einschließlich verwenden, von dieser Schwachstelle betroffen sind.

Betroffene Versionen

Alle Versionen von Bitbucket Server und Datacenter, die nach 6.10.17 veröffentlicht wurden, einschließlich 7.0.0 und neuer, sind betroffen. Das bedeutet, dass alle Instanzen, auf denen eine Version zwischen 7.0.0 und 8.3.0 einschließlich läuft, von dieser Sicherheitslücke betroffen sind.

Fix-Versionen

Supported Version

Bug Fix Release

Bitbucket Server and Data Center 7.6

7.6.17 (LTS) oder neuer

Bitbucket Server and Data Center 7.17

7.17.10 (LTS) oder neuer

Bitbucket Server and Data Center 7.21

7.21.4 (LTS) oder neuer

Bitbucket Server and Data Center 8.0

8.0.3 oder neuer

Bitbucket Server and Data Center 8.1

8.1.3 oder neuer

Bitbucket Server and Data Center 8.2

8.2.2 oder neuer

Bitbucket Server and Data Center 8.3

8.3.1 oder neuer

Was soll ich tun?



Sie verwenden Bitbucket Server oder Data Center in einer Version, die unter "Betroffene Versionen" aufgeführt ist.

Update

Aktualisieren Sie auf eine Version, die unter "Fix-Versionen" aufgeführt ist.

bitvoodoo empfiehlt den neusten LTS Release von Bitbucket.

Bitbucket Mesh

Wenn Sie Bitbucket Mesh-Knoten konfiguriert haben, müssen diese mit der entsprechenden Version von Mesh aktualisiert werden, die den Fix enthält. Um die Version von Mesh zu ermitteln, die mit der Bitbucket Data Center Version kompatibel ist, schauen Sie bitte in die Kompatibilitätsmatrix. Sie können die entsprechende Version aus dem Download Center herunterladen.

Wenn Sie sich nicht sicher sind, ob Ihre Bitbucket-Instanz Bitbucket Mesh konfiguriert hat, melden Sie sich als Administrator an und wählen Sie Administration > Bitbucket Mesh. Diese Seite listet alle Mesh-Knoten auf, welche aktualisiert werden müssen.  Wenn die Liste leer ist, hat Ihre Instanz kein Mesh konfiguriert und dieser zusätzliche Schritt ist nicht erforderlich.

Workaround

Um diese Schwachstelle zu beheben, aktualisieren Sie jede betroffene Produktinstallation auf eine der oben aufgeführten korrigierten Versionen.

Wenn Sie nicht in der Lage sind, Bitbucket zu aktualisieren, besteht eine vorübergehende Abhilfemaßnahme darin, öffentliche Repos global zu deaktivieren, indem Sie feature.public.access=false setzen, da dies diesen Angriffsvektor von einem nicht autorisierten Angriff in einen autorisierten Angriff ändert. Dies kann nicht als vollständige Entschärfung angesehen werden, da ein Angreifer mit einem Benutzerkonto immer noch erfolgreich sein könnte.


Sie verwenden Bitbucket Cloud.


Sie sind von diesem Security Advisory nicht betroffen.


Es besteht kein Handlungsbedarf.





Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch.