Contactamos con ustedes para informarles de una vulnerabilidad de seguridad tipificada por Atlassian como crítica, detectada en los productos Bitbucket Server y Bitbucket Data Center y comunicada oficialmente por Atlassian hace tan solo unas horas.

¿Qué productos se ven afectados?

  • Bitbucket Server y Bitbucket Data Center

Pueden encontrar la comunicación oficial de Atlassian en el siguiente enlace (en inglés): Nota de vulnerabilidad 15 Enero 2020.

También pueden seguir el avance de la incidencia en el siguiente enlace (en inglés):  Incidencia vulnerabilidad 15 Enero 2020.

  • Remote Code Execution (RCE) via certain user input fields – CVE-2019-15010

Es una vulnerabilidad que le permite a un atacante remoto con permisos de usuario ejecutar comandos arbitrarios en la instancia de Bitbucket Sever o Data center.  Esta vulnerabilidad está presente desde las versiones 3.0.0 de Server y Data center en Bitbucket debido a una ejecución remota de código que se podía llevar a cabo a través de ciertos campos de entrada de usuario (fields).

  • Remote Code Execution (RCE) via post-receive hook – CVE-2019-20097

Es una vulnerabilidad que le permite a un atacante remoto ejecutar comandos arbitrarios en el sistema usando un archivo con contenido especifico cuando éste tiene permisos de clonar y hacer push de archivos al repositorio de la instancia de Bitbucket Server o Data center de la víctima.

  • Remote Code Execution (RCE) via edit-file request – CVE-2019-15012

Es una vulnerabilidad explotada vía la petición edit-file. Un atacante remoto con permisos de escritura en el repositorio puede escribir sobre cualquier archivo de la instancia Bitbucket Server o Data center de la víctima haciendo uso del edit-file endpoint.

En algunos casos, esta vulnerabilidad puede terminar en la ejecución de código arbitrario desde la instancia de Bitbucket de la víctima.

Los clientes que se encuentren bajo alguna de las siguientes versiones:

  • Todas las versiones < 5.16.11. Por ejemplo 3.0.0, 4.13.1, etc.
  • 6.0.X <= versión < 6.0.11. Por ejemplo 6.0.1, etc.
  • 6.1.X <= versión < 6.1.9. Por ejemplo 6.1.3, etc.
  • 6.2.X <= versión < 6.2.7. Por ejemplo 6.2.2, etc.
  • 6.3.X <= versión < 6.3.6. Por ejemplo 6.3.4, etc.
  • 6.4.X <= versión < 6.4.4. Por ejemplo 6.4.1, etc.
  • 6.5.X <= versión < 6.5.3. Por ejemplo 6.5.1, etc.
  • 6.6.X <= versión < 6.6.3. Por ejemplo 6.6.2, etc.
  • 6.7.X <= versión < 6.7.3. Por ejemplo 6.7.1, etc.
  • 6.8.X <= versión < 6.8.2. Por ejemplo 6.8.0, etc.
  • 6.9.X <= versión < 6.9.1. Por ejemplo 6.9.0, etc.

Algunas versiones específicas contienen un fix que bloquea esta vulnerabilidad. Si usted tiene alguna de las siguientes versiones, su instalación NO se verá afectada:

  • Versión 5.16.11
  • Versión 6.0.11
  • Versión 6.1.9
  • Versión 6.2.7
  • Versión 6.3.6
  • Versión 6.4.4
  • Versión 6.5.3
  • Versión 6.6.3
  • Versión 6.7.3
  • Versión 6.8.2
  • Versión 6.9.1

En caso de estar afectado por esta vulnerabilidad, Atlassian expone algunas vías para mitigarla:

La respuesta recomendada por Atlassian para mitigar de forma permanente esta vulnerabilidad es actualizar (Centro de descarga oficial) el producto a la versión más reciente (6.9.1).

Si no es posible hacer la actualización inmediatamente, como solución temporal para la vulnerabilidad CVE-2019-15012 se debe deshabilitar la función editar-archivo entrando a bitbucket.properties  y asignando feature.file.editor=false. Para encontrar más información con respecto a esta solución puede seguir el siguiente link.

Con respecto a las vulnerabilidades CVE-2019-15010 y CVE-2019-20097, no existe aún ninguna solución temporal y es muy importante que se actualice a una de las versiones seguras lo antes posible.

Pueden encontrar más información en el apartado de Mitigation en esta nota técnica de Atlassian.

Contáctanos

Solicita una consulta gratuita. Envíanos un mensaje y en breve uno de nuestros representantes se pondrá en contacto contigo.