加QQ81758415
快捷导航

下载 | 与Github齐名的Bitbucket Server远程代码执行漏洞CVE-2018-5225 大批版本受影响

2018-3-23 08:00| 发布者: xlbck| 查看: 64| 评论: 0|原作者: xlbck

摘要: 通过该漏洞,经过认证的用户可以通过编辑存储库中的符号链接,使用浏览器内编辑功能来远程执行代码。Atlassian及绿盟科技发布预警通告,请尽快升级到最新版本。 ...

近日,Atlassian的Bitbucket Server爆出 远程代码执行漏洞 ,CVE编号CVE-2018-5225,通过该漏洞,经过认证的用户可以通过编辑存储库中的符号链接,使用浏览器内编辑功能来远程执行代码。Atlassian及绿盟科技发布预警通告,相关信息如下

推荐阅读:

Bitbucket Server是什么

百度百科,BitBucket 是一家源代码托管网站,采用Mercurial和Git作为分布式版本控制系统,同时提供商业计划和免费账户

知乎 东方孤思子朋友表示, 建议同时用Bitbucket和 Github ,理由如下:

有私人项目或者敏感项目(比如接的 商业项目 散活)就用选 Bitbucket 就对了。(个人认为Hg比Git好用)
优势如下:

  • 第一 支持Hg ,最易学易用(但不是最强大的)的分布式版本管理工具。同时 也支持Git 。他的网页端的git仓库不如github好用,但是作为远端仓库足够了。
  • 第二 完全免费的闭源项目 ,还支持 5人以内的合作开发
  • 第三支持 中文
  • 第四官方的git工具 SourceTree 比GitHub for windows好用。

CVE-2018-5225漏洞概要

针对CVE-2018-5225漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2018-5225涉及厂商、CVE-2018-5225漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。

CVE-2018-5225漏洞标识

  • CVE ID:CVE-2018-5225
  • BUGTRAQ ID:【BUGTRAQ ID】
  • Atlassian漏洞库ID:946627549
  • CNNVD ID:【CNNVD漏洞编号】
  • 绿盟科技漏洞库ID:【绿盟科技漏洞库ID】

CVE-2018-5225漏洞相关链接

【增补中】

  • 百度链接:https://www.baidu.com/s?wd=CVE-2018-5225
  • 绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
  • Seclists链接:http://seclists.org/bugtraq/2018/Mar/58
  • Atlassian链接:https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2018-03-21-946627549.html

CVE-2018-5225漏洞描述

【增补中】

CVE评价该漏洞

CVE还处于保留状态

** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

Atlassian评价该漏洞

Atlassian认为这个漏洞的严重程度至关重要, 根据我们的Atlassian严重级别发布的规模。 规模允许我们将严重程度分为严重程度,风险程度,
低。 这是我们的评估,您应评估其适用性 你自己的IT环境。

Summary

CVE-2018-5225 - Bitbucket Server - Remote Code Execution via in Browser Editing

Advisory Release Date

10 AM PDT (Pacific Time, -7 hours)

Product Bitbucket Server

Affected Bitbucket Server Versions

  • 4.13.0 <= version < 5.4.8
  • 5.5.0 <= version < 5.5.8
  • 5.6.0 <= version < 5.6.5
  • 5.7.0 <= version < 5.7.3
  • 5.8.0 <= version < 5.8.2

Fixed Bitbucket Server Versions

  • 5.4.8
  • 5.5.8
  • 5.6.5
  • 5.7.3
  • 5.8.2
  • 5.9.0
CVE ID(s) CVE-2018-5225

绿盟科技评价该漏洞

近日,Bitbucket Server被曝出存在一个远程代码执行漏洞(CVE-2018-5225)。通过该漏洞,经过认证的用户可以通过编辑存储库中的符号链接,使用浏览器内编辑功能来远程执行代码。

相关链接:

http://seclists.org/bugtraq/2018/Mar/58

SecurityFocus评价该漏洞

CVE-2018-5225漏洞影响范围

CVE-2018-5225漏洞涉及厂商

Atlassian

CVE-2018-5225漏洞涉及产品

Bitbucket Server

CVE-2018-5225漏洞影响版本

  • 4.13.0 <= Bitbucket Server version < 5.4.8
  • 5.5.0  <= Bitbucket Server version < 5.5.8
  • 5.6.0  <= Bitbucket Server version < 5.6.5
  • 5.7.0  <= Bitbucket Server version < 5.7.3
  • 5.8.0  <= Bitbucket Server version < 5.8.2

CVE-2018-5225漏洞解决方案

【增补中】

Atlassian 声明

发布包含此修复程序的Bitbucket Server版本5.9.0 问题,并可以从中下载
https://www.atlassian.com/software/bitbucket/download
发布了包含此修复程序的Bitbucket Server版本5.8.2 问题,并可以从中下载
https://www.atlassian.com/software/bitbucket/download-archives
发布了包含此修补程序的Bitbucket Server版本5.7.3 问题,并可以从中下载
https://www.atlassian.com/software/bitbucket/download-archives
发布了包含此修复程序的Bitbucket Server 5.6.5版 问题,并可以从中下载
https://www.atlassian.com/software/bitbucket/download-archives
发布包含此修复程序的Bitbucket Server 5.5.8版 问题,并可以从中下载
https://www.atlassian.com/software/bitbucket/download-archives
发布了包含此修复程序的Bitbucket Server 5.4.8版 问题,并可以从中下载
https://www.atlassian.com/software/bitbucket/download-archives

绿盟科技声明

Bitbucket官方已经发布了新版本修复了上述漏洞,请受影响的用户尽快下载更新至最新版本进行防护。

下载链接:

https://www.atlassian.com/software/bitbucket/download
https://www.atlassian.com/software/bitbucket/download-archives

对于暂时不便升级的用户,Bitbucket官方给出了临时缓解方案。将bitbucket.properties文件中的编辑功能关掉,按如下设置:

feature.file.editor = false

由于该缓解方案无法防止使用第三方文件编辑的API来利用漏洞,所以官方强烈建议用户尽快升级到最新版本进行防护。

参考链接:

http://seclists.org/bugtraq/2018/Mar/58

【增补中】

CVE-2018-5225漏洞安全加声明

本页信息用以描述CVE-2018-5225漏洞的信息,这些信息便于您对CVE-2018-5225漏洞进行快速阅读并了解相关信息。如下信息如有空缺,则CVE-2018-5225漏洞相关内容正在增补中,如果您知悉相关内容或者如下内容有异议,可以联系站长:安全加QQ:468215215;Weixin:gnaw0725

CVE-2018-5225漏洞相关内容

CVE-2018-5225漏洞相关漏洞

漏洞列表

CVE-2018-5225漏洞相关文章

Bitbucket Server远程代码执行漏洞

点击图片下载


鲜花

握手

雷人

路过

鸡蛋

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )