Bitbucket CVE-2022-43781 취약점 안내 및 해결 방안

Owned by Eddie Beak
Last updated: Nov 24, 2022
1 min read

원문: Bitbucket Server and Data Center Security Advisory 2022-11-16 | Bitbucket Data Center and Server 8.6 | Atlassian Documentation

 

안녕하세요, 디무브 입니다.

현재 아틀라시안 Bitbucket의 Server 및 Data Center 버전에서 중요한 보안 취약점이 발견되어 안내 드립니다.

 

해당 취약점은 환경 변수를 사용하여 명령을 주입하는 취약점 입니다. 공격자는 취약점을 악용하여 시스템에서 코드를 실행할 수 있습니다.

이 취약점으로 영향 받는 정도는 제품 별로 상이하지만, 치명적인 보안 취약사항이기 때문에 빠른 패치가 필요합니다.

심각도

Atlassian은Atlassian 심각도 수준에 게시된 척도에 따라 이 취약성의 심각도 수준을 critical으로 평가합니다.

영향을 받는 Atlassian Server(DC) 제품

영향을 받는 버전

제품

영향을 받는 버전

제품

영향을 받는 버전

Bitbucket 서버 및 데이터 센터

  • 7.0 - 7.5(모든 버전)

  • 7.6.0에서 7.6.18

  • 7.7 - 7.16(모든 버전)

  • 7.17.0에서 7.17.11

  • 7.18 - 7.20(모든 버전)

  • 7.21.0에서 7.21.5

mesh.enabled=falsebitbucket.properties에 설정된 경우

  • 8.0.0에서 8.0.4

  • 08.1.0에서 8.1.4

  • 8.2.0에서 8.2.3

  • 8.3.0에서 8.3.2

  • 8.4.0에서 8.4.1

 

해결 방안

아틀라시안에서는 취약점을 개선시킨 Fixed버전으로 업그레이드 할 것을 권고하고 있습니다.

Fixed 버전

제품

Fixed 버전

제품

Fixed 버전

Bitbucket 서버 및 데이터 센터

  • 7.6.19 이상

  • 7.17.12 이상

  • 7.21.6 이상

  • 8.0.5 이상

  • 8.1.5 이상

  • 8.2.4 이상

  • 8.3.3 이상

  • 8.4.2 이상

  • 8.5.0 이상

취약점 완화 방법(임시 방편)

Bitbucket 인스턴스를 업그레이드할 수 없는 경우 일시적인 완화 단계는 "Allow public sign up"을 비활성화하는 것입니다.

공개 등록을 사용하지 않도록 설정하면 악용 위험이 줄어듭니다.

이 설정을 사용하지 않도록 설정하려면 Administration > Authentication 으로 이동하여 Allow public sign up 확인란의 선택을 취소합니다.

 

하지만 ADMIN 또는 SYS_ADMIN으로 인증된 사용자는 공개 등록이 비활성화된 경우에도 이 취약성을 악용할 수 있습니다.

이러한 이유로 이 작업는 임시 단계로 처리되어야 하며 가능한 한 빨리 고정 버전으로 업그레이드하는 것이 좋습니다.

취약점 정리

취약점 설명

CVE-2022-43781 - 명령 주입 취약성

취약점 설명

CVE-2022-43781 - 명령 주입 취약성

취약점 공개 날짜

Nov 16, 2022 오전 10시 PDT

영향을 받는 제품

  • Bitbucket 서버

  • Bitbucket 데이터 센터

CVE ID

CVE-2022-43781

 

관련하여 도움이 필요하실 경우 디무브로 언제든지 문의해주시기 바랍니다.

감사합니다.