Aufgrund einer kritischen Schwachstelle im Bitbucket Server und Data Center rät Atlassian Betroffenen dringend Updates einzuspielen.
Eine schwerwiegende Sicherheitslücke im Bitbucket Server und Data Center von Atlassian erlaubt die Ausführung von beliebigem Code aus der Ferne. Dadurch können Angreifer nicht nur Malware einschleusen, sondern auch in Repositorys gespeicherte Daten auslesen, ändern und löschen. Bisher ist kein Fall bekannt, in dem die Sicherheitslücke aktiv ausgenutzt wurde.
Pew
CVE-2022-36804 - RCE in Bitbucket Server Will Release PoC in 30 days.
Einen Patch hat Atlassian mittlerweile
Betreiber von Bitbucket Mesh-Knoten sind ebenfalls dazu angehalten, ein Update auf eine neue Mesh-Version durchzuführen. Um die Kompatibilität zum Bitbucket Data Center sicherzustellen, ist eine Überprüfung der jeweiligen Version über die von Atlassian bereitgestellte
Wer aktuell kein Bitbucket-Update ausführen kann, ist dazu angehalten, zumindest öffentliche Repositorys zu
Während wir erst kürzlich von Schwachstellen in Funk-Türschlössern und Notebook-Betriebssystemen berichteten, von denen sicherlich eher Privatpersonen betroffen sind, macht der Fall von Bitbucket tendenziell eher Unternehmen und Behörden zur Zielscheibe potenzieller Angriffe.
Tarnkappe.info
Eine schwerwiegende Sicherheitslücke im Bitbucket Server und Data Center von Atlassian erlaubt die Ausführung von beliebigem Code aus der Ferne. Dadurch können Angreifer nicht nur Malware einschleusen, sondern auch in Repositorys gespeicherte Daten auslesen, ändern und löschen. Bisher ist kein Fall bekannt, in dem die Sicherheitslücke aktiv ausgenutzt wurde.
Ein Bitbucket-Patch steht bereit – das Update ist anzuraten
Der Twitter-User @TheGrandPew entdeckte und meldete die Schwachstelle im Bitbucket Server und Data Center bereits im Juli – und kassierte dafür eine Belohnung vom Entwickler.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
CVE-2022-36804 - RCE in Bitbucket Server Will Release PoC in 30 days.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Einen Patch hat Atlassian mittlerweile
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und Anwender sollten betroffene Softwarepakete zeitnah aktualisieren. Denn mit einem CVSS-Score von 9,9 ist die Sicherheitslücke
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
tatsächlich sehr kritisch. Betroffen sind alle Bitbucket Server und Data Center Versionen von 7.0.0 bis 8.3.0.Auch das Center for Internet Security (CIS)Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
das hohe Sicherheitsrisiko. Es warnt insbesondere Unternehmen und Regierungsbehörden, da diese Bitbucket häufig als Quellcodeverwaltung für ihre eigenen Projekte einsetzen.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bitbucket Logo / Quelle:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Betreiber von Bitbucket Mesh-Knoten sind ebenfalls dazu angehalten, ein Update auf eine neue Mesh-Version durchzuführen. Um die Kompatibilität zum Bitbucket Data Center sicherzustellen, ist eine Überprüfung der jeweiligen Version über die von Atlassian bereitgestellte
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
anzuraten.Wer aktuell kein Bitbucket-Update ausführen kann, ist dazu angehalten, zumindest öffentliche Repositorys zu
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, um die Angriffsfläche vorübergehend zu verkleinern. Dies bietet jedoch keinen vollumfänglichen Schutz vor der Ausnutzung der Schwachstelle, sofern Angreifer sich Zugriff auf ein Benutzerkonto mit Zugriffsrechten auf das Repository verschaffen können.Auch die besten Entwickler kochen nur mit Wasser
Und sie bauen manchmal, sicherlich unbeabsichtigt, Sicherheitslücken in ihre Softwareprodukte ein. Je nachdem, welche Software dies betrifft, sind die Auswirkungen mal brisanter und mal weniger brisant. Mal trifft es eher Unternehmen, mal eher Privatpersonen.Während wir erst kürzlich von Schwachstellen in Funk-Türschlössern und Notebook-Betriebssystemen berichteten, von denen sicherlich eher Privatpersonen betroffen sind, macht der Fall von Bitbucket tendenziell eher Unternehmen und Behörden zur Zielscheibe potenzieller Angriffe.
Tarnkappe.info