通知公告

通知公告

首页  信息公开  通知公告

【风险提示】AtlassianBitbucketDataCenter存在远程代码执行漏洞的风险提示

作者: 发布时间:2022-04-21 浏览次数:29


漏洞描述

监测发现,Atlassian Bitbucket Data Center存在远程代码执行漏洞。Atlassian Bitbucket Data CenterAtlassianGit存储库管理解决方案,其为需要高可用性和大规模性能的企业提供源代码协作。由于 Atlassian Bitbucket Data Center中的 Hazelcast接口功能未对用户数据进行有效过滤,不法分子利用该漏洞可以构造恶意数据远程执行任意代码。当 Atlassian Bitbucket Data CenterCluster模式安装时,会受该漏洞影响。

影响范围

Atlassian Bitbucket Data CenterAtlassian推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD等功能。如果 Bitbucket Data CenterCluster模式安装则可能受该漏洞影响。

目前受影响的 Atlassian Bitbucket Data Center版本:

Atlassian Bitbucket Data Center >= 5.14.x

Atlassian Bitbucket Data Center 6.x

Atlassian Bitbucket Data Center < 7.6.14

Atlassian Bitbucket Data Center < 7.16.x

Atlassian Bitbucket Data Center < 7.17.6

Atlassian Bitbucket Data Center < 7.18.4

Atlassian Bitbucket Data Center < 7.19.4

Atlassian Bitbucket Data Center 7.20.0

解决方案

当前官方已发布最新版本,建议及时更新升级到最新版本。链接如下:

https://www.atlassian.com/software/bitbucket/download-archives

可以通过以下方式自查 Bitbucket Data Center是否是以 Cluster模式安装的。打开 Bitbucket Data Center的安装目录下的 confluence.cfg.xml文件,若包含以下内容,则表明是以 Cluster模式安装的。

<property name="confluence.cluster">true</property>

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26815