近期 Atlassian 公布了一則關於 Bitbucket 產品之資訊安全相關的文章,此漏洞風險涵蓋到該產品下方指定之版本,如是有使用下方版本之客戶請注意 :
Product | Affected Versions |
Bitbucket Server and Data Center | Versions 大於 6.10.17 後的所有版本 |
Command Injection(命令注入弱點)是一種常見的網頁注入攻擊行為,若管理者未在網站的輸入表單中正確過濾敏感字元,攻擊者有則可能透過這些進入點,將指令傳送至 Server 本機中執行後,再將執行結果透過動態網頁語言輸出,藉此獲取機敏資訊或執行未經授權的任意指令。
本次漏洞為 Bitbucket Server 和 Data Center 的多個 API Endpoint 中存在了命令注入漏洞。有權訪問 Public Repository 或具有 Private Bitbucket Repository 讀取許可權的攻擊者可以通過發送惡意 HTTP 請求來執行任意代碼。
此風險當前 Atlassian rates 評判為嚴重等級。當貴司環境處於上方指定版本時就有可能會受到此漏洞所影響 (基本上當前所有 Bitbucket Server & Data Center 都會受到此漏洞所影響),請盡速做升級動作,升級到下方指定之發佈版本 :
當前客戶您的 Bitbucket 版本 | 建議升級之已修復版本 |
8.0.3 或更高版本 | |
8.1.3 或更高版本 | |
8.2.2 或更高版本 | |
8.3.1 或更高版本 |
再次提醒如貴司當前環境卻為漏洞影響之範圍內,請盡速做主程式的升級,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。
Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Atlassian 系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。
資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。
Comments