Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


EN

Security advisory Bitbucket Server - Argument Injection - CVE-2019-15000 published by Atlassian on September 18th 2019

Atlassian has published security advisories concerning all older versions of Bitbucket:
https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-09-18-976762635.html

What are the risks? 

This critical vulnerability allows a potential remote attacker to inject additional arguments into Git commands, which could lead to remote code execution. Remote attackers can exploit this argument injection vulnerability if they are able to access a Git repository in Bitbucket. If public access is enabled for a project or repository, then attackers are able to exploit this issue anonymously. 


How to protect your instance? 


→ If your instance is hosted by Valiantys

You benefit from all our expertise and service commitment. Please note that we have conducted an impact analysis on all Bitbucket instances managed by our teams and that we have contacted all customers affected by this vulnerability by submitting the remediation plan to them. We have applied a workaround provided by Atlassian to mitigate the risk for all our hosted Bitbucket instances, which consists in installing a hotfix plugin developed by Atlassian. Note that installed apps may still introduce vulnerabilities, even with the hotfix installed. The hotfix only protects the standard functionality of the system. For a more comprehensive fix, Bitbucket must be upgraded. 

Regarding customers whose instances are impacted, we will upgrade their Bitbucket version to fix the problem.

We thank you for your confidence in our Cloud offer offering and we would be happy to help you if you have any questions.


→ If your instance isn't hosted by Valiantys

We could not verify if it is exposed or not to this vulnerability.We recommend that you install Atlassian's hotfix plugin, available here https://jira.atlassian.com/browse/BSERV-11947 and then plan an upgrade for your Bitbucket instance as soon as possible.

If you need assistance to verify your exposure to this security vulnerability, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you need help upgrading your instance, contact us.


Best regards,

The Valiantys Support Team

FR

Faille de sécurité Bitbucket - Argument Injection - CVE-2019-15000 publiée par Atlassian le 18 septembre 2019

Atlassian a publié une annonce de sécurité pour prévenir des failles de sécurité existants dans toutes les anciennes versions de Bitbucket :
https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-09-18-976762635.html


Quels sont les risques ? 

Cette vulnérabilité critique permet à un attaquant potentiel à distance d'injecter des arguments supplémentaires dans des commandes Git, ce qui peut entraîner une exécution de code à distance. Des attaquants à distance peut exploiter cette vulnérabilité d'injection d'arguments s'ils sont capables d'accéder à un répertoire Git dans Bitbucket. Si l'accès public publique est activé pour un projet ou répertoire, les attaquants peuvent exploiter cette vulnérabilité de manière anonyme.


Comment vous protéger ? 


→ Si votre instance est hébergée dans le Cloud Valiantys :

Vous bénéficiez ainsi de toute notre expertise et engagement de service. Sachez que nous avons mené une analyse d'impact sur toutes les instances Confluence Bitbucket gérées par nos équipes et que nous avons contacté tous les clients concernés par cette faille en leur soumettant le plan de remédiation. 

Pour les clients dont les instances sont impactées : Nous avons appliqué une solution de contournement pour éliminer le risque pour toutes les instances Bitbucket sur notre hébergement, qui consiste en l'installation d'un plugin développé par Atlassian pour protéger contre la faille. Notez cependant que des composants additionnelles peuvent toujours introduire des vulnerabilitesvulnérabilités, meme même avec ce plugin installé. Le plugin protège uniquement la fonctionnalié fonctionnalité standard de l'application. Pour avoir une protection complète contre cette faille, Bitbucket doit être mis à jour.

Les instances impactées par cette faille seront mises à jour par nos services afin de régler le problème.

Nous vous remercions de votre confiance dans notre offre Cloud et nous restons à votre disposition si vous avez des questions.

→ Si votre instance n'est pas hébergée dans le Cloud Valiantys :

Nous n'avons pu vérifier si elle est exposée ou non à cette vulnérabilité.Nous vous recommandons d'installer le plugin développé par Atlassian pour protéger contre la faille, disponible ici : https://jira.atlassian.com/browse/BSERV-11947, puis planifier une mise à jour de votre instance Bitbucket dès que possible.

Si vous avez besoin d'assistance pour vérifier votre exposition à cette faille de sécurité, profitez de votre contrat de Support Valiantys et créez un ticket sur notre portail dédié. 

Si vous avez besoin d'aide pour upgrader votre instance, contactez-nous.

Cordialement,

L’équipe de Support Valiantys