一、漏洞詳情

Bitbucket Server and Data Center 是 Atlassian 提供的Git存儲(chǔ)庫(kù)管理解決方案。

近日Atlassian發(fā)布安全公告，Atlassian Bitbucket Server and Data Center存在命令注入漏洞，該漏洞允許具有控制用戶(hù)名權(quán)限的攻擊者利用環(huán)境變量進(jìn)行命令注入，從而實(shí)現(xiàn)系統(tǒng)命令執(zhí)行。（若Atlassian Bitbucket Server and Data Center使用PostgreSQL作為數(shù)據(jù)庫(kù)，則不受該漏洞影響。）

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

7.0 <= Bitbucket Server and Data Center <= 7.5

7.6.0 <= Bitbucket Server and Data Center <= 7.6.18

7.7 <= Bitbucket Server and Data Center <= 7.16

7.17.0 <= Bitbucket Server and Data Center <= 7.17.11

7.18 <= Bitbucket Server and Data Center <= 7.20

7.21.0 <= Bitbucket Server and Data Center <= 7.21.5

如果在bitbucket.properties中設(shè)置了mesh.enabled=false，則以下版本也受影響：

8.0.0 <= Bitbucket Server and Data Center <= 8.0.4

8.1.0 <= Bitbucket Server and Data Center <= 8.1.4

8.2.0 <= Bitbucket Server and Data Center <= 8.2.3

8.3.0 <= Bitbucket Server and Data Center <= 8.3.2

8.4.0 <= Bitbucket Server and Data Center <= 8.4.1

三、修復(fù)建議

目前Atlassian官方已發(fā)布安全版本修復(fù)上述漏洞，建議受影響的用戶(hù)升級(jí)至安全版本。

下載鏈接：https://www.atlassian.com/software/bitbucket/download-archives