forum.opennet.ru - "Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере " (15)

"Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Bitbucket Server, приводящая к выполнению кода на сервере "	+/–
Сообщение от opennews (??), 19-Ноя-22, 11:21
В Bitbucket Server, пакете для развёртывания web-интерфейса для работы с git-репозиториями, выявлена критическая уязвимость (CVE-2022-43781), позволяющая удалённому атакующему добиться выполнения кода на сервере. Уязвимость может быть эксплуатирована неутентифицированным пользователем, если на сервере разрешена самостоятельная регистрация (включена настройка "Allow public signup"). Эксплуатация также возможна аутентифицированным пользователем у которого есть права на изменение имени пользователя (т.е. есть полномочия ADMIN или SYS_ADMIN). Детали пока не приводится, известно только то, что проблема вызвана возможностью подстановки команд через переменные окружения... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58151
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Аноним (1), 11:21 , 19-Ноя-22, (1) –2

Скрыто модератором, Аноним (3), 11:23 , 19-Ноя-22, (3) +5

Давайте айпишники ваших серверов, я покажу как надо выполнять код , Аноним (2), 11:21 , 19-Ноя-22, (2) +1

127 0 0 1, pashev.ru (?), 11:27 , 19-Ноя-22, (4) +8

По этому адресу нет ведра битов, Аноним (7), 13:58 , 19-Ноя-22, (7) +2

https rr noordstar me mybitbucket-3c89559f, КО (?), 14:06 , 19-Ноя-22, (8) +3

рикролл я уже не в первый раз читаю про проприетарные уязвимости в битбукете, Аноним (15), 19:54 , 20-Ноя-22, (15)

Неприятно конечно, но необходимость полномочий ADMIN или SYS_ADMIN немного уме, Анонн (?), 12:34 , 19-Ноя-22, (5) –1
так это не уязвимость а дыра, Бывалый смузихлёб (?), 13:31 , 19-Ноя-22, (6) –1
Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе Эксплой, Аномин (?), 15:55 , 19-Ноя-22, (9) –1

На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крути, Аноним (-), 17:18 , 19-Ноя-22, (10) –3
Вращай на гайке Неуловимый джо, Аноним42 (?), 20:49 , 19-Ноя-22, (11) +1
Вращали бы, да софта под бсд раз, два и обчёлся Индустрия сделала свой выбор , Аноним (13), 22:03 , 19-Ноя-22, (13) +2

Т е в опасности только 3 189 унылых энтерпрайз-клиента, у которых всё в ланчи, Аноним (13), 21:59 , 19-Ноя-22, (12)
Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окруже, Аноним (16), 21:46 , 23-Ноя-22, (16)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 19-Ноя-22, 11:21 –2 +/–

А на расте такой херни не было...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (2), 19-Ноя-22, 11:21 +1 +/–

Давайте айпишники ваших серверов, я покажу как надо выполнять код.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #8

3. Сообщение от Аноним (3), 19-Ноя-22, 11:23 +5 +/–

потому шта полковнику никто не пишет, особенно на нём

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от pashev.ru (?), 19-Ноя-22, 11:27 +8 +/–

127.0.0.1

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7

5. Сообщение от Анонн (?), 19-Ноя-22, 12:34 –1 +/–

Неприятно конечно, но необходимость полномочий "ADMIN или SYS_ADMIN" немного уменьшают вероятность взлома.

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Бывалый смузихлёб (?), 19-Ноя-22, 13:31 –1 +/–

> Уязвимость не проявляется в облачном сервисе bitbucket.org
так это не уязвимость а дыра

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 19-Ноя-22, 13:58 +2 +/–

По этому адресу нет ведра битов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от КО (?), 19-Ноя-22, 14:06 +3 +/–

https://rr.noordstar.me/mybitbucket-3c89559f

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #15

9. Сообщение от Аномин (?), 19-Ноя-22, 15:55 –1 +/–

Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе. Эксплойты на них работать не будут.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #11, #13

10. Сообщение от Аноним (-), 19-Ноя-22, 17:18 –3 +/–

На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крутить филейной частью над домом культуры вечером. Бери, не хочу...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Аноним42 (?), 19-Ноя-22, 20:49 +1 +/–

Вращай на гайке! Неуловимый джо

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

12. Сообщение от Аноним (13), 19-Ноя-22, 21:59 +/–

> затрагивает только продукты для установки на своих мощностях
Т.е. в опасности только 3½ унылых энтерпрайз-клиента, у которых всё в ланчике с айпишничками на десяточку за натами и фаерволлами, и доступом только через vpn, даже из интранета. Ой-вей.

Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Аноним (13), 19-Ноя-22, 22:03 +2 +/–

Вращали бы, да софта под бсд раз, два и обчёлся. Индустрия сделала свой выбор.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (15), 20-Ноя-22, 19:54 +/–

рикролл.
я уже не в первый раз читаю про проприетарные уязвимости в битбукете

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

16. Сообщение от Аноним (16), 23-Ноя-22, 21:46 +/–

Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окружения. Но они смогли это.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 19-Ноя-22, 11:21	–2 +/–
А на расте такой херни не было...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3

2. Сообщение от Аноним (2), 19-Ноя-22, 11:21	+1 +/–
Давайте айпишники ваших серверов, я покажу как надо выполнять код.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #8

3. Сообщение от Аноним (3), 19-Ноя-22, 11:23	+5 +/–
потому шта полковнику никто не пишет, особенно на нём
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

4. Сообщение от pashev.ru (?), 19-Ноя-22, 11:27	+8 +/–
127.0.0.1
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #7

5. Сообщение от Анонн (?), 19-Ноя-22, 12:34	–1 +/–
Неприятно конечно, но необходимость полномочий "ADMIN или SYS_ADMIN" немного уменьшают вероятность взлома.
Ответить \| Правка \| Наверх \| Cообщить модератору

6. Сообщение от Бывалый смузихлёб (?), 19-Ноя-22, 13:31	–1 +/–
> Уязвимость не проявляется в облачном сервисе bitbucket.org так это не уязвимость а дыра
Ответить \| Правка \| Наверх \| Cообщить модератору

7. Сообщение от Аноним (7), 19-Ноя-22, 13:58	+2 +/–
По этому адресу нет ведра битов
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

8. Сообщение от КО (?), 19-Ноя-22, 14:06	+3 +/–
https://rr.noordstar.me/mybitbucket-3c89559f
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #15

9. Сообщение от Аномин (?), 19-Ноя-22, 15:55	–1 +/–
Поэтому подобный софт надо вращать на бсд, лучше на опенке или стрекозе. Эксплойты на них работать не будут.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10, #11, #13

10. Сообщение от Аноним (-), 19-Ноя-22, 17:18	–3 +/–
На линуксе сейчас вообще что-то вращать - это как пьяной 18 летней дивчине крутить филейной частью над домом культуры вечером. Бери, не хочу...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

11. Сообщение от Аноним42 (?), 19-Ноя-22, 20:49	+1 +/–
Вращай на гайке! Неуловимый джо
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

12. Сообщение от Аноним (13), 19-Ноя-22, 21:59	+/–
> затрагивает только продукты для установки на своих мощностях Т.е. в опасности только 3½ унылых энтерпрайз-клиента, у которых всё в ланчике с айпишничками на десяточку за натами и фаерволлами, и доступом только через vpn, даже из интранета. Ой-вей.
Ответить \| Правка \| Наверх \| Cообщить модератору

13. Сообщение от Аноним (13), 19-Ноя-22, 22:03	+2 +/–
Вращали бы, да софта под бсд раз, два и обчёлся. Индустрия сделала свой выбор.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (15), 20-Ноя-22, 19:54	+/–
рикролл. я уже не в первый раз читаю про проприетарные уязвимости в битбукете
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

16. Сообщение от Аноним (16), 23-Ноя-22, 21:46	+/–
Казалось бы, где поле ввода имени пользователя на сайте, а где переменные окружения. Но они смогли это.
Ответить \| Правка \| Наверх \| Cообщить модератору