修復(fù)Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的關(guān)鍵漏洞?。–VE-2022-36804)

    2022/8/30 10:01:32 人評論

    修復(fù)Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的關(guān)鍵漏洞?。?/span>CVE-2022-36804

     未經(jīng)授權(quán)的攻擊者可以利用Atlassian Bitbucket服務(wù)器和數(shù)據(jù)中心中的一個關(guān)鍵漏洞(CVE-2022-36804)在易受攻擊的實(shí)例上執(zhí)行惡意代碼。

     

    關(guān)于CVE-2022-36804

    Bitbucket服務(wù)器和數(shù)據(jù)中心被世界各地的軟件開發(fā)人員用于源代碼修訂控制、管理和托管。

    CVE-2022-36804Bitbucket服務(wù)器和數(shù)據(jù)中心的多個API端點(diǎn)中的命令注入漏洞。

    Atlassian解釋說:“具有公共存儲庫訪問權(quán)限或私人Bitbucket存儲庫讀取權(quán)限的攻擊者可以通過發(fā)送惡意HTTP請求來執(zhí)行任意代碼?!?。攻擊者可以采取哪些后續(xù)操作取決于與受攻擊應(yīng)用程序關(guān)聯(lián)的權(quán)限。

     在版本7.6.17、7.17.107.21.4、8.0.38.1.2、8.2.28.3.1之前發(fā)布的所有Bitbucket服務(wù)器和數(shù)據(jù)中心版本都有漏洞,但Atlassian托管的Bitbucket安裝不受影響。

     

    在攻擊者開始攻擊之前修復(fù)該問題

    建議用戶升級到其自托管安裝,以堵塞安全漏洞。

     該公司補(bǔ)充說:“如果您已經(jīng)配置了Bitbucket網(wǎng)格節(jié)點(diǎn),則需要將其更新為包含修復(fù)的相應(yīng)版本的網(wǎng)格?!薄?/span>

     “如果無法升級Bitbucket,臨時緩解措施是通過設(shè)置feature.public.access=false全局關(guān)閉公共存儲庫,因?yàn)檫@會將此攻擊向量從未經(jīng)授權(quán)的攻擊更改為授權(quán)的攻擊。這不能被視為完全緩解,因?yàn)榫哂杏脩魩舻墓粽呷匀豢赡艹晒??!?/span>

     CVE-2022-36804AppSec審計(jì)員Maxwell Garret(又名TheGrandPew)報(bào)告,他最近承諾在9月底發(fā)布PoC。

     當(dāng)然,沒有什么能阻止攻擊者對提供的修復(fù)補(bǔ)丁進(jìn)行反向工程,以收集足夠的信息來攻擊該漏洞,從而創(chuàng)建有效的攻擊,因此用戶應(yīng)迅速采取行動阻止這一攻擊途徑。

    ×
    99在线精品一区二区三区,亚洲社区在线观看,九九色综合九九色,亚洲熟妇色XXXXX亚洲,高清无码网站在线观看,97国产在线视频公开免费,6080yy亚洲久久无码,国产无遮挡又黄又爽在线视频,中文字幕一级毛片视频,无码A级毛片日韩精品
    国产午夜无码片在线观看网站| 国产午夜福利久久精品| 国产粉嫩嫩00在线正在播放| 亚洲日本VA午夜中文字幕久久| 精精国产XXXX视频在线my| 青青青久热国产精品视频| 嫩草伊人久久精品少妇AV| 中文字幕无码精品亚洲资源网久久| 欧美成人在线视频| 亚洲精品9999久久久久无码| 在线亚洲日产一区二区| 日本少妇aa特黄毛片| 又大又粗又猛免费视频| 午夜爽爽爽男女免费观看一区二区| 国产AⅤ无码专区亚洲AV琪琪| 亚洲av成人片不卡无码| 中文字幕人妻丝袜成熟乱| 亚洲aⅴ无码一区二区三区| 日韩精品一区二区亚洲AV| 亚洲日韩乱码中文无码蜜桃臀网站| 亚洲精品一品区二品区三品区| 婷婷色综合AⅤ视频| 色综合视频一区二区在线观看| 欧美一级中文字幕| 老子午夜精品无码| 国产精品丝袜诱惑| 国产热A欧美热A在线视频| 日韩成人无码中文字幕| 国产黑色丝袜视频在线网站| 99精品国产高清自在线看超| 国产泄欲在线观看| 色老头永久免费网站| 女人被爽到呻吟的视频动态图| 99久久久无码国产精品6| 欧洲无码精品a码无人区| 国产成人无码区免费AⅤ片| 国产乱人伦精品免费| 日日摸?夜夜爽无码毛片精选| 亚洲AV无码久久| 毛片永久新网址首页| 国产V亚洲V天堂A无码99|