Präparierte HTTP-Anfragen könnten Atlassian Bitbucket Server gefährlich werden

Unter bestimmten Voraussetzungen könnten Angreifer Bitbucket Server und Bitbucket Data Center von Atlassian attackieren. Sind Attacken erfolgreich, könnte Schadcode auf Computer gelangen. In so einem Zustand gelten System meist als vollständig kompromittiert.

Wie die Entwickler in einer Warnmeldung schreiben, benötigen Angreifer Zugriff auf ein öffentliches Bitbucket Repository oder Leserechte für ein privates Repository. Ist das gegeben, könnten sie über das Versenden von präparierten HTTP-Anfragen Schadcode auf Systemen ausführen. Die Sicherheitslücke (CVE-2022-36804) ist als "kritisch" eingestuft.

Die folgenden Versionen sollen gegen diese Attacken gerüstet sein. Angriffe sind ab Versionen nach 6.10.17 möglich. Wer über die Cloud (bitbucket.org) auf Bitbucket zugreift, ist von der Schwachstelle nicht betroffen.

• Bitbucket Server und Bitbucket Data Center ab 7.6.17 (LTS)
• Bitbucket Server und Bitbucket Data Center ab 7.17.10 (LTS)
• Bitbucket Server und Bitbucket Data Center ab 7.21.4 (LTS)
• Bitbucket Server und Bitbucket Data Center ab 8.0.3
• Bitbucket Server und Bitbucket Data Center ab 8.1.3
• Bitbucket Server und Bitbucket Data Center ab 8.2.2
• Bitbucket Server und Bitbucket Data Center ab 8.3.1

Für Admins, die die Sicherheitsupdates derzeit nicht installieren können, gibt es eine temporäre Übergangslösung: Um Attacken vorzubeugen, müssen sie öffentliche Repositorys durch feature.public.access=false sperren. Dadurch können nur noch Nutzer mit zugelassenen Accounts darauf zugreifen.

(des)