-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.01 ############################# Titel : Kwetsbaarheid verholpen in Bitbucket Server en Data Center Advisory ID : NCSC-2022-0732 Versie : 1.01 Kans : medium CVE ID : CVE-2022-43781 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20230317 Toepassing : Atlassian Bitbucket Versie(s) : 7.0 - 7.5 7.6.0 - 7.6.18 7.7 - 7.16 7.17.0 - 7.17.11 7.18 - 7.20 7.21.0 - 7.21.5 Platform(s) : Update Onderzoekers hebben Proof-of-Concept-code (PoC) en een Metasploit module vrijgegeven, waarmee de kwetsbaarheid kan worden aangetoond. De inschaling van dit beveiligingsadvies wijzigt verder niet en blijft onverkort MEDIUM/HIGH Beschrijving Er is een kwetsbaarheid verholpen in Bitbucket Server en Data Center. De kwetsbaarheid stelt een kwaadwillende in staat willekeurige code uit te voeren door environment variabelen te manipuleren binnen de applicatie. Hiervoor dient de kwaadwillende diens gebruikersnaam te kunnen aanpassen. Mogelijke oplossingen Atlassian heeft updates gepubliceerd om de kwetsbaarheid te verhelpen. Alle versies tussen 7.0 en 7.21 zijn kwetsbaar, maar ook versies tussen 8.0 en 8.4 bij in het geval dat mesh.enabled=false is ingesteld in bitbucket.properties. Voor meer informatie, zie: https://confluence.atlassian.com/bitbucketserver /bitbucket-server-and-data-center-security-advisory-2022-11-16-11 80141667.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBZBQq6/4Vd0fJc7lbAQoIVQv9HGVkxTdnjgzsh/Utxtv1TDyFqPyHcz5j K9u34zsnpoLDQzsqRtONYXZfGyF52vpbwfe9+msiuJ5S7Tg/LyF2UUgdD7GACcvE fgZVb5TexkmZbfck6/fiIoITjX2kUYXuprfIIl78XmnEqB/FmJwF9SQoDcP6kkdk b1a2h9MJOvdoG8PLTkvFOpuW+fwAaUxQPf/ZERepp0yzYB8MGYFK+B+82SPyGWMA AeFLFvQiZBd3Fs6pMYCW7aaVUXpEoRUV4uVPOeQxxYSc1lErOiMBGeiiLTDXtcQO pJQLdVYkKfo2pxnMdvGITXI5eR4KLXEj0+cUTbT8yUZChFdTRmY6GQgrFNy/uEiu 1c6+DYxC/dnKfgg9c+wbkixrRKpUDkTjYCO4UtZ858rstAuWvzIMjMfXilRkGFGM 73hWqrfsOMQRaPM6aA9ZpFVxn7j3Ov7DVXITYfHtCE2p/IDLNz80yC6i3sYf0nu1 Iw671D/Lf75eg+fBEhCxHp2oQ/HrxwK3 =gGpr -----END PGP SIGNATURE-----