Atlassian Bitbucket Server 和 Data Center 命令注入漏洞

最新推荐文章于 2023-03-03 18:29:12 发布
最新推荐文章于 2023-03-03 18:29:12 发布
阅读量802 收藏
点赞数
分类专栏: 漏洞情报订阅 文章标签: 开源 安全 apache gitlab github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126541698
版权

漏洞描述

Atlassian Bitbucket Server是澳大利亚Atlassian公司的一款Git代码托管解决方案。

在Bitbucket Server 和 Data Center 的多个 API 端点处存在命令注入漏洞。有权访问公共 Bitbucket 存储库或对私有存储库具有读取权限的攻击者可以通过发送恶意 HTTP 请求来执行任意代码。

漏洞名称Atlassian Bitbucket Server 和 Data Center 命令注入漏洞
漏洞类型命令注入
发现时间2022/8/26
漏洞影响广度广
MPS编号MPS-2022-52474
CVE编号CVE-2022-36804
CNVD编号-

影响范围

Atlassian Data Center@[7.0.0, 7.6.17)

Atlassian Bitbucket Server@[7.0.0, 7.6.17)

Atlassian Data Center@[7.7.0, 7.17.10)

Atlassian Bitbucket Server@[7.7.0, 7.17.10)

Atlassian Data Center@[7.18.0, 7.21.4)

Atlassian Bitbucket Server@[7.18.0, 7.21.4)

Atlassian Bitbucket Server@[8.1.0, 8.1.3)

Atlassian Bitbucket Server@[8.0.0, 8.0.3)

Atlassian Data Center@[8.1.0, 8.1.3)

Atlassian Bitbucket Server@[8.3.0, 8.3.1)

Atlassian Data Center@[8.3.0, 8.3.1)

Atlassian Bitbucket Server@[8.2.0, 8.2.2)

Atlassian Data Center@[8.0.0, 8.0.3)

Atlassian Data Center@[8.2.0, 8.2.2)

修复方案

将Atlassian Bitbucket Server 和 Data Center升级到 7.0.0 或 7.6.17 或 7.17.10 或 7.21.4 或 8.0.3 或 8.1.3 或 8.2.2 或 8.3.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-52474

https://nvd.nist.gov/vuln/detail/CVE-2022-36804/

https://jira.atlassian.com/browse/BSERV-13438

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

开源生态安全OSCS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
众至科技漏洞通告 | Atlassian Crowd and Crowd Data Center 权限绕过漏洞Bitbucket Server and Data Center 远程命令执行漏洞
zz_tech的博客
11-30 674
众至科技发布漏洞通告
Atlassian发布Bamboo 6.0和Bitbucket Server 5.0
weixin_33806300的博客
06-05 186
Atlassian发布了Bamboo和Bitbucket Server的新版本,这两项工具旨在支持企业的DevOps。新功能包括代码配置(configuration as code)、增强的构建控制和构建进度监控。\\在“Bitbucket Server 5.0 \u0026amp; Bamboo 6.0: Bringing DevOps to the Enterprise”这篇博文中,Atlas...
Bitbucket Server and Data Center命令注入漏洞(CVE-2022-43781)
include_voidmain的博客
12-28 713
跟进看一下命令在哪里执行的以及环境变量用来干什么,在RemoteUserNioProcessConfigurer中的configure方法成功命中断点,这里发现已经传入了git命令,但是漏洞描述说的是使用用户名环境变量造成的注入,所以只需关注环境变量部分。这个函数是\com\atlassian\bitbucket\internal\-process\NioProcessParameters.java中新增的,其中调用的函数对key进行了非空判断,对key和valve都进行了空字节的检测。
bitbucket的git参数命令注入漏洞
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
11-26 1124
启动docker, 创建栗子项目,方便后面调试 下面是我的操作 创建完后,刷新项目
Bitbucket服务器扩展「Bitbucket Server Extension」-crx插件
03-09
允许在bitbucket服务器+其他功能中添加一组评论者的拉取请求 这个扩展允许在Atlassian Bitbucket服务器中定义审阅者组,以便在创建或更新请求时进行批量添加。 加上: :check_mark:在拉取请求创建页面添加按钮添加审阅者组 :check_mark:在标题栏工具栏中添加评论通知图标 :check_mark:将过滤器添加到PR列表 :check_mark:将突出显示的标题添加到拉取请求详细信息页面中的过期文件,而不是右侧的小标签以提高可读性 :check_mark:在拉取请求详细信息页面添加可点击的分支文本(原点和目标),轻松转到相应的存储库 :check_mark:在存储库的“分支概述”页面的右侧添加一个标签,以列出从该分支(来源:OPEN / MERGED / DECLINED) :check_mark:添加一个链接来启动一个jenkin生成在拉请求详细信息页面上点击一下 :check_mark:添加模板按钮到PR编辑器 请访问这里的源代码和开发版本:https://github.com/dragouf/Stash-Reviewers-Chrome-Extension 支持语言:English
bitbucket配置及简单使用
10-17
bitbucket配置及简单使用,本地下载一个git gui或者sourcetree之类的
face_control:评论Atlassian Bitbucket Server(以前称为Stash)中添加的拉取请求行中的问题
01-30
目前支持和 ,还检查TODO和FIXME。 受启发。 安装 gem install face_control 您还需要安装CoffeeLint并在PATH可用。 用法 face-control < project> < repository> 在连续集成服务器上运行它是很自然的(请参见...
BitbucketPS:与Atlassian Bitbucket交互的PowerShell模块
05-25
Set-ConfigServer " https://bitbucket.example.com " 要使用BitbucketPS: Import-Module BitbucketPS New-BitBucketSession - Credential ( Get-Credential YourUserName) 贡献 想要为AtlassianPS做出贡献?
bitbucket-for-visual-studio:提供与Atlassian Bitbucket-https的Visual Studio集成
05-25
Visual Studio Bitbucket扩展 Bitbucket Extension是用于Visual Studio与Bitbucket Git存储库集成的插件。 主要特点: 创建-允许用户在Bitbucket.org上创建一个git存储库,并将其与您的本地版本同步。 克隆-列出...
quickstart-atlassian-bitbucket:在AWS云上具有高可用性和可扩展性的代码协作
03-18
Bitbucket数据中心是Atlassian的Git存储库管理解决方案。它为需要高可用性和大规模性能的企业提供源代码协作。 本快速入门以为基础。您可以选择为您的部署构建新的ASI或将Bitbucket部署到现有的ASI中。您也可以在...
docker-atlassian-confluence-data-center:Dockerized Atlassian Confluence Data Center 用于插件开发期间的本地测试
05-29
Docker Atlassian Confluence 数据中心 使用 Docker 启动,以便在插件开发期间进行本地测试。 它启动一个PostgreSQL... 如果您对如何运行 Confluence 和/或 Confluence Data Center 有任何疑问,请在提问。 商标和第三
安装学习bitbucket
future_fan
03-21 3104
1.安装网址: 参考:https://confluence.atlassian.com/bitbucketserver/install-bitbucket-server-from-an-archive-file-776640148.html 2.在ubuntu上面安装perl: 参考:http://blog.csdn.net/junweifan/article/details/7260401
CVE-2022-26133漏洞复现
初岄的博客
06-10 1420
Atlassian Bitbucket Data Center 远程代码执行漏洞 CVE-2022-26133
搭建Bitbucket项目管理工具详细教程
Super乐De博客
03-03 4277
搭建Bitbucket项目管理工具详细教程
Atlassian 系列软件安装(Crowd、jira、confluence、bitbucket、bamboo)
justlpf的专栏
08-02 2576
名称简介Crowd易于使用、管理和集成的单点登录和身份管理工具。除了支持 Atlassian 系列软件,也支持 SonarQube,Jenkins,Nexus 等JIRA使用敏捷团队的首选软件开发工具,规划、追踪和发布世界一流的软件。Confluence可减少东找西找所花的时间,将更多的时间用在完成工作上。可在同一位置整理工作、创建文档并讨论一切内容。Bitbucket通过内嵌的评论和拉取请求协作编写代码。整个团队管理并共享 Git 代码库以构建和交付软件。Bamboo。..................
【技术分享】Bitbucket|gitlab 参数注入漏洞
weixin_47208161的博客
10-25 702
漏洞研究的工作价值编号漏洞简介漏洞详情分析工作原理思路构造poc是否可以RCE?漏洞影响:修复方案参考资料:漏洞研究的工作价值先不谈这个具体的漏洞,讲讲为什么要持续进行跟进复现漏...
docker部署Bitbucket 5.13
顾丽江的专栏
08-08 5466
本次安装版本为Bitbucket5.13 首先需要环境docker环境, 演示版本为centos(7.4.1708) docker(v1.13.1) 开始配置 第一步:下载bitbucket,你可以选择两种方式参考(https://hub.docker.com/r/atlassian/bitbucket-server/ ) 分别为使用dockerfile方式和自己用命令行 自己用命令行...
BitBucket入门踩坑
litefish的专栏
08-11 7560
今天想要用下BitBucket,没想到遇到好多问题,谨记之。 首先,官网注册BitBucket必须翻墙,因为有个google机器人校验,无墙注册一直说我是robot。 注册成功之后,我在官网下载了一个BitBucket,版本为SourceTree_2.3.1,结果打开之后点了一部,就一直转圈,无法解决。 后来我去找个SourceTree_2.0.5.3就不存在问题,不知道新版本加入了什么鬼。
bitbucket安装
热门推荐
feinifi的博客
08-15 1万+
bitbucket是git-server的一种,类似github,但它是一个私人的版本管理工具,适合公司开发团队内部使用,也可以供外部人员使用。jdk:bitbucket的安装需要jdk环境,这一步是必须的。这里提供一个可以直接解压运行的包bitbucket.tar.gz,它包含了一个tomcat,atlbitbucket程序,一个启动bitbucket所需的用户脚本,链接: https://pa...
ubuntu20.04安装bitbucket
最新发布
08-26
要在Ubuntu 20.04上安装Bitbucket,您可以按照以下步骤进行操作: 1. 首先,确保您的系统已经安装了Git。如果没有,请在终端中运行以下命令来安装它: ``` sudo apt update sudo apt install git ``` 2. 接下来,您需要下载并安装Java Development Kit(JDK)。在终端中运行以下命令来安装OpenJDK 8: ``` sudo apt update sudo apt install openjdk-8-jdk ``` 3. 下载Bitbucket安装文件。您可以在Bitbucket的官方网站上下载适用于Linux的tar.gz文件。 4. 解压下载的tar.gz文件。假设您将文件下载到了当前用户的“Downloads”文件夹中,使用以下命令解压缩: ``` cd ~/Downloads tar -xvzf bitbucket-X.X.X.tar.gz ``` 请将“X.X.X”替换为版本号。 5. 将解压缩后的Bitbucket文件移动到合适的位置。您可以选择将其移动到/opt目录下: ``` sudo mv ~/Downloads/atlassian-bitbucket-X.X.X /opt/bitbucket ``` 请将“X.X.X”替换为版本号。 6. 为Bitbucket创建一个系统用户。运行以下命令来创建一个名为“bitbucket”的用户: ``` sudo useradd --create-home --home-dir /home/bitbucket --shell /bin/bash bitbucket sudo passwd bitbucket ``` 您将被要求为该用户设置密码。 7. 授予Bitbucket文件夹的所有权给“bitbucket”用户: ``` sudo chown -R bitbucket:bitbucket /opt/bitbucket ``` 8. 编辑Bitbucket的配置文件。使用任何文本编辑器(例如nano)打开/opt/bitbucket/atlassian-bitbucket-X.X.X/conf/server.xml文件: ``` sudo nano /opt/bitbucket/atlassian-bitbucket-X.X.X/conf/server.xml ``` 在其中找到以下行: ``` <Connector port="7990" ... ``` 将其替换为: ``` <Connector port="80" ... ``` 这将使Bitbucket通过默认的HTTP端口80运行。如果您希望使用不同的端口,请相应地更改。 9. 启动Bitbucket服务。使用以下命令: ``` sudo /opt/bitbucket/bin/start-bitbucket.sh ``` 现在,您可以在Web浏览器中访问http://localhost/并按照Bitbucket的设置过程进行配置。 请注意,这只是一个基本的安装过程。根据您的环境和需求,您可能需要进行其他配置和调整。请参考Bitbucket的官方文档以获取更多详细信息和指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值