En raison d’une vulnérabilité critique dans le serveur et le centre de données Bitbucket, Atlassian conseille de toute urgence aux personnes concernées d’installer les mises à jour.
Une grave vulnérabilité dans Bitbucket Server et Data Center d’Atlassian permet l’exécution à distance de code arbitraire. Cela permet aux attaquants non seulement d’injecter des logiciels malveillants, mais également de lire, modifier et supprimer des données stockées dans des référentiels. Jusqu’à présent, aucun cas n’est connu dans lequel la vulnérabilité a été activement exploitée.
Un patch Bitbucket est disponible – la mise à jour est recommandée
L’utilisateur de Twitter @TheGrandPew a découvert et signalé la vulnérabilité dans Bitbucket Server et Data Center en juillet – et a reçu une récompense du développeur pour l’avoir fait.
Atlassian a maintenant fourni un correctif et les utilisateurs doivent mettre à jour les packages logiciels concernés dès que possible. Avec un score CVSS de 9,9, la vulnérabilité CVE-2022-36804 est en fait très critique. Toutes les versions de Bitbucket Server et Data Center de 7.0.0 à 8.3.0 sont concernées.
« Un attaquant ayant accès à un référentiel Bitbucket public ou des privilèges de lecture sur un référentiel privé pourrait exécuter du code arbitraire en envoyant une requête HTTP malveillante. »
atlasien
Le Center for Internet Security (CIS) confirme également le risque de sécurité élevé. En particulier, il met en garde les entreprises et les agences gouvernementales, car elles utilisent souvent Bitbucket comme source de contrôle pour leurs propres projets.
Les opérateurs de nœud Bitbucket Mesh sont également encouragés à mettre à jour vers une nouvelle version de Mesh. Pour assurer la compatibilité avec le Bitbucket Data Center, il est conseillé de vérifier la version respective à l’aide de la matrice de compatibilité fournie par Atlassian.
Si vous ne parvenez pas actuellement à exécuter une mise à jour de Bitbucket, nous vous encourageons à au moins désactiver les référentiels publics pour réduire temporairement la surface d’attaque. Cependant, cela n’offre pas une protection complète contre l’exploitation de la vulnérabilité si les attaquants peuvent accéder à un compte d’utilisateur avec des droits d’accès au référentiel.
Même les meilleurs développeurs ne cuisinent qu’avec de l’eau
Et ils intègrent parfois, certainement involontairement, des vulnérabilités dans leurs produits logiciels. Selon le logiciel concerné, les effets sont parfois plus explosifs et parfois moins explosifs. Il touche parfois des entreprises, parfois des particuliers.
Alors que nous n’avons signalé que récemment des vulnérabilités dans les serrures de porte sans fil et les systèmes d’exploitation des ordinateurs portables, qui sont certainement plus susceptibles d’affecter les particuliers, le cas de Bitbucket tend à faire des entreprises et des agences gouvernementales la cible d’attaques potentielles.