Kritische Sicherheitslücken in Bitbucket Server und Data Center behoben: Updates sorgen für Systemsicherheit

Seitdem Atlassian seine Systeme speziell für den Einsatz im Enterprise-Umfeld weiterentwickelt, haben die beteiligten Produktteams den Fokus auf die Sicherheit der Systeme nochmals verstärkt. Sobald bei internen und externen Security-Tests Sicherheitslücken und Bugs, die böswilligen Akteuren als Angriffsfläche dienen können, entdeckt werden, reicht Atlassian kurzfristig bereinigte Produktversionen nach, in denen die Fehler behoben sind.

Nun sind für Bitbucket Server und Bitbucket Data Center gleich drei solcher Schwachstellen bekanntgegeben und geschlossen worden. Atlassian stuft diese Bedrohungen als kritisch ein. (Hier können Sie die Originalmeldung nachlesen.) Kunden sind aufgerufen, ihre Systeme möglichst rasch auf sichere Versionen zu aktualisieren, um die Bugs zu fixen und ihre Instanzen wieder bestmöglich zu schützen.

Gefahr von Remote Code Execution

Die drei identifizierten Sicherheitslücken bergen die Gefahr von Remote Code Execution (RCE), wodurch Angreifer ein Zielsystem gezielt kompromittieren können.

RCE über bestimmte Nutzer-Eingabefelder

Remote-Angreifer mit Berechtigungen auf Nutzerebene können diese Lücke ausnutzen, um mithilfe spezieller Nutzdaten im Zielsystem beliebige Befehle auszuführen.

RCE über den Post-receive-Hook

Dieser Bug versetzt böswillige Akteure, die Berechtigungen zum Kopieren und Pushen von Dateien an ein Repository besitzen, in die Lage, mithilfe einer Datei mit speziellen Inhalten beliebige Kommandos in Bitbucket auszuführen.

RCE per Edit-file-Anfrage

Angreifer mit Schreibberechtigungen für ein Repository können sich diese Schwachstelle zunutze machen, um über den Edit-file-Endpunkt beliebige Dateien im Zielsystem zu überschreiben. In bestimmten Fällen wird es dadurch außerdem ermöglicht, schädlichen Code in die Zielinstanz einzubringen und auszuführen.

Gefährdete Versionen und sichere Bugfix-Releases

Von den Bedrohungen betroffen sind die nachfolgend aufgeführten Produktversionen von Bitbucket Server und Bitbucket Data Center:

  • alle Versionen von 1.x.x bis 4.x.x
  • alle Versionen von 5.x.x bis 5.16.10
  • alle Versionen von 6.0.x bis 6.0.10
  • alle Versionen von 6.1.x bis 6.1.8
  • alle Versionen von 6.2.x bis 6.2.6
  • alle Versionen von 6.3.x bis 6.3.5
  • alle Versionen von 6.4.x bis 6.4.3
  • alle Versionen von 6.5.x bis 6.5.2
  • alle Versionen von 6.6.x bis 6.6.2
  • alle Versionen von 6.7.x bis 6.7.2
  • alle Versionen von 6.8.x bis 6.8.1
  • Version 6.9.0

Kunden von Bitbucket Server oder Bitbucket Data Center sollten ihre Instanzen jetzt schnellstmöglich auf sichere Versionen updaten. Das aktuelle Release 6.10.0 behebt die Probleme. Auch für frühere Versionen hat Atlassian entsprechende Bugfix-Releases zur Verfügung gestellt. Das Einspielen einer der folgenden Versionen schafft wieder Systemsicherheit:

  • 5.16.11
  • 6.0.11
  • 6.1.9
  • 6.2.7
  • 6.3.6
  • 6.4.4
  • 6.5.3
  • 6.6.3
  • 6.7.3
  • 6.8.2
  • 6.9.1
  • 6.10.0

Temporärlösung kann Update nicht ersetzen

Für den oben zuletzt aufgeführten Bug (RCE per Edit-file-Anfrage) gibt es einen temporären Workaround, der dieses Problem minimiert. Sie können die Edit-file-Funktion deaktivieren, indem Sie in den bitbucket.properties den Wert feature.file.editor=false setzen. Details hierzu finden Sie in Atlassians Anleitung.

Dieser Workaround ist jedoch nur eine vorübergehende Notlösung, die keine Software-Aktualisierung ersetzen kann. Außerdem sind für die anderen beiden Lücken leider keine solchen Sofortmaßnahmen bekannt. Umso wichtiger ist daher ein Update auf eine der oben genannten sicheren Produktversionen.

Fragen? Unterstützung? Unser Betriebsteam hilft!

Mit Kunden, die bei //SEIBERT/MEDIA Betriebspakete besitzen, ist unser Betriebsteam schon proaktiv in Kontakt getreten, um baldige Update-Termine mit ihnen zu koordinieren. Haben Sie Fragen oder brauchen Sie Unterstützung bei der Aktualisierung durch unsere Experten für den Betrieb von Atlassian-Software? Dann melden Sie sich per E-Mail an vertrieb@seibert-media.net oder telefonisch unter 0611-20570-42 bei uns! Unser Team ist momentan stark eingespannt, aber wir helfen Ihnen gerne, so bald es die Kapazitäten zulassen!

Weiterführende Infos

Betriebspakete zu Ihren Atlassian-Anwendungen
Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen

Artikelbild auf der Startseite von Soumil Kumar unter Pexels Lizenz