Vulnerabilidad crítica en Bitbucket Server & Data Center

AVISO IMPORTANTE

 

 
Contactamos con ustedes para informarles de una vulnerabilidad de seguridad tipificada por Atlassian como crítica, detectada en los productos Bitbucket Server y Bitbucket Data Center y comunicada oficialmente por Atlassian hace tan solo unas horas.

¿Qué productos se ven afectados?

  • Bitbucket Server y Bitbucket Data Center

Pueden encontrar la comunicación oficial de Atlassian en el siguiente enlace (en inglés): Nota de vulnerabilidad 15 Enero 2020.

También pueden seguir el avance de la incidencia en el siguiente enlace (en inglés):  Incidencia vulnerabilidad 15 Enero 2020.


¿En qué consisten estas vulnerabilidades?
  • Remote Code Execution (RCE) via certain user input fields – CVE-2019-15010

Es una vulnerabilidad que le permite a un atacante remoto con permisos de usuario ejecutar comandos arbitrarios en la instancia de Bitbucket Sever o Data center.  Esta vulnerabilidad está presente desde las versiones 3.0.0 de Server y Data center en Bitbucket debido a una ejecución remota de código que se podía llevar a cabo a través de ciertos campos de entrada de usuario (fields).

  • Remote Code Execution (RCE) via post-receive hook – CVE-2019-20097

Es una vulnerabilidad que le permite a un atacante remoto ejecutar comandos arbitrarios en el sistema usando un archivo con contenido especifico cuando éste tiene permisos de clonar y hacer push de archivos al repositorio de la instancia de Bitbucket Server o Data center de la víctima. 

  • Remote Code Execution (RCE) via edit-file request – CVE-2019-15012

Es una vulnerabilidad explotada vía la petición edit-file. Un atacante remoto con permisos de escritura en el repositorio puede escribir sobre cualquier archivo de la instancia Bitbucket Server o Data center de la víctima haciendo uso del edit-file endpoint. 

En algunos casos, esta vulnerabilidad puede terminar en la ejecución de código arbitrario desde la instancia de Bitbucket de la víctima.

¿Qué versiones de estos productos se ven afectadas?

Los clientes que se encuentren bajo alguna de las siguientes versiones:

  • Todas las versiones < 5.16.11. Por ejemplo 3.0.0, 4.13.1, etc.

  • 6.0.X <= versión < 6.0.11. Por ejemplo 6.0.1, etc.

  • 6.1.X <= versión < 6.1.9. Por ejemplo 6.1.3, etc.

  • 6.2.X <= versión < 6.2.7. Por ejemplo 6.2.2, etc.

  • 6.3.X <= versión < 6.3.6. Por ejemplo 6.3.4, etc.

  • 6.4.X <= versión < 6.4.4. Por ejemplo 6.4.1, etc.

  • 6.5.X <= versión < 6.5.3. Por ejemplo 6.5.1, etc.

  • 6.6.X <= versión < 6.6.3. Por ejemplo 6.6.2, etc.

  • 6.7.X <= versión < 6.7.3. Por ejemplo 6.7.1, etc.

  • 6.8.X <= versión < 6.8.2. Por ejemplo 6.8.0, etc.

  • 6.9.X <= versión < 6.9.1. Por ejemplo 6.9.0, etc.

 

Algunas versiones específicas contienen un fix que bloquea esta vulnerabilidad. Si usted tiene alguna de las siguientes versiones, su instalación NO se verá afectada:

  • Versión 5.16.11
  • Versión 6.0.11
  • Versión 6.1.9
  • Versión 6.2.7
  • Versión 6.3.6
  • Versión 6.4.4
  • Versión 6.5.3
  • Versión 6.6.3
  • Versión 6.7.3
  • Versión 6.8.2
  • Versión 6.9.1
¿Cómo resolver esta vulnerabilidad?

En caso de estar afectado por esta vulnerabilidad, Atlassian expone algunas vías para mitigarla:

 

La respuesta recomendada por Atlassian para mitigar de forma permanente esta vulnerabilidad es actualizar (Centro de descarga oficial) el producto a la versión más reciente (6.9.1).

Si no es posible hacer la actualización inmediatamente, como solución temporal para la vulnerabilidad CVE-2019-15012 se debe deshabilitar la función editar-archivo entrando a bitbucket.properties  y asignando feature.file.editor=false. Para encontrar más información con respecto a esta solución puede seguir el siguiente link.

 

Con respecto a las vulnerabilidades CVE-2019-15010 y CVE-2019-20097, no existe aún ninguna solución temporal y es muy importante que se actualice a una de las versiones seguras lo antes posible.

Pueden encontrar más información en el apartado de Mitigation en esta nota técnica de Atlassian.


En Itera podemos ayudarte

Contacta con un especialista


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.