Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Bitbucket: Kritische Sicherheitslücke gefährdet Unternehmen

Aufgrund einer kritischen Schwachstelle im Bitbucket Server und Data Center rät Atlassian Betroffenen dringend Updates einzuspielen.

Eine schwerwiegende Sicherheitslücke im Bitbucket Server und Data Center von Atlassian erlaubt die Ausführung von beliebigem Code aus der Ferne. Dadurch können Angreifer nicht nur Malware einschleusen, sondern auch in Repositorys gespeicherte Daten auslesen, ändern und löschen. Bisher ist kein Fall bekannt, in dem die Sicherheitslücke aktiv ausgenutzt wurde.

Ein Bitbucket-Patch steht bereit – das Update ist anzuraten​

Der Twitter-User @TheGrandPew entdeckte und meldete die Schwachstelle im Bitbucket Server und Data Center bereits im Juli – und kassierte dafür eine Belohnung vom Entwickler.

Du musst angemeldet sein, um Bilder zu sehen.
Pew@TheGrandPew
CVE-2022-36804 - RCE in Bitbucket Server Will Release PoC in 30 days. Bitbucket Server and Data Center Advisory 2022-08-24 | Bitbucket Data Center and Server 8.3 | Atlassian Documentation https://t.co/Cuw6xGxlYR

Bitbucket Server and Data Center Advisory 2022-08-24 | Bitbucket Data Center and Server 8.3 | Atlassian Documentation​

confluence.atlassian.com25.8.2022, 00:23:07 via Twitter powered by
Einen Patch hat Atlassian mittlerweile bereitgestellt und Anwender sollten betroffene Softwarepakete zeitnah aktualisieren. Denn mit einem CVSS-Score von 9,9 ist die Sicherheitslücke CVE-2022-36804 tatsächlich sehr kritisch. Betroffen sind alle Bitbucket Server und Data Center Versionen von 7.0.0 bis 8.3.0.

“Ein Angreifer mit Zugriff auf ein öffentliches Bitbucket-Repository oder mit Leserechten für ein privates Repository kann beliebigen Code ausführen, indem er eine bösartige HTTP-Anfrage sendet.”
Atlassian
Auch das Center for Internet Security (CIS) bestätigt das hohe Sicherheitsrisiko. Es warnt insbesondere Unternehmen und Regierungsbehörden, da diese Bitbucket häufig als Quellcodeverwaltung für ihre eigenen Projekte einsetzen.

Du musst angemeldet sein, um Bilder zu sehen.
Bitbucket Logo / Quelle: Wikipedia
Betreiber von Bitbucket Mesh-Knoten sind ebenfalls dazu angehalten, ein Update auf eine neue Mesh-Version durchzuführen. Um die Kompatibilität zum Bitbucket Data Center sicherzustellen, ist eine Überprüfung der jeweiligen Version über die von Atlassian bereitgestellte Kompatibilitätsmatrix anzuraten.

Wer aktuell kein Bitbucket-Update ausführen kann, ist dazu angehalten, zumindest öffentliche Repositorys zu deaktivieren, um die Angriffsfläche vorübergehend zu verkleinern. Dies bietet jedoch keinen vollumfänglichen Schutz vor der Ausnutzung der Schwachstelle, sofern Angreifer sich Zugriff auf ein Benutzerkonto mit Zugriffsrechten auf das Repository verschaffen können.

Auch die besten Entwickler kochen nur mit Wasser​

Und sie bauen manchmal, sicherlich unbeabsichtigt, Sicherheitslücken in ihre Softwareprodukte ein. Je nachdem, welche Software dies betrifft, sind die Auswirkungen mal brisanter und mal weniger brisant. Mal trifft es eher Unternehmen, mal eher Privatpersonen.

Während wir erst kürzlich von Schwachstellen in Funk-Türschlössern und Notebook-Betriebssystemen berichteten, von denen sicherlich eher Privatpersonen betroffen sind, macht der Fall von Bitbucket tendenziell eher Unternehmen und Behörden zur Zielscheibe potenzieller Angriffe.

Tarnkappe.info
 
Zurück
Oben