Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

English


Security advisory Bitbucket Server & Data Center- Argument Injection - CVE-2019-15000 published by Atlassian on September 18, 2019

Atlassian issued a security alert that may affect you. It covers all older versions of Bitbucket:
→ Argument Injection - CVE-2019-15000 - September 18, 2019


What are the risks? 

This critical vulnerability allows a potential remote attacker to inject additional arguments into Git commands, which could lead to remote code execution. Remote attackers can exploit this argument injection vulnerability if they are able to access a Git repository in Bitbucket. If public access is enabled for a project or repository, then attackers are able to exploit this issue anonymously. 

How to protect your instance? 


→ If your instance is hosted by Valiantys

You benefit from all our expertise and service commitment. Please note that we have conducted an impact analysis on all Bitbucket instances managed by our teams and that we have contacted all customers affected by this vulnerability by submitting the remediation plan to them. We have applied a workaround provided by Atlassian to mitigate the risk for all our hosted Bitbucket instances, which consists in installing a hotfix plugin developed by Atlassian. Note that installed apps may still introduce vulnerabilities, even with the hotfix installed. The hotfix only protects the standard functionality of the system. For a more comprehensive fix, Bitbucket must be upgraded. 

Regarding customers whose instances are impacted, we will upgrade their Bitbucket version to fix the problem.

We thank you for your confidence in our Cloud offering and we would be happy to help you if you have any questions.


→ If your instance isn't hosted by Valiantys

We recommend that you install Atlassian's hotfix plugin, available here and then plan an upgrade for your Bitbucket instance as soon as possible.

If you need assistance to verify your exposure to this security vulnerability, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you need help upgrading your instance, contact us.


Best regards,

The Valiantys Support Team

French


Faille de sécurité Bitbucket Serveur & Data Center - Argument Injection - CVE-2019-15000 publiée par Atlassian le 18 septembre 2019

Atlassian a publié une alerte de sécurité pour prévenir de failles de sécurité existantes dans toutes les anciennes versions de Bitbucket :
→ Argument Injection - CVE-2019-15000 - 18 septembre 2019


Quels sont les risques ? 

Cette vulnérabilité critique permet à un attaquant potentiel à distance d'injecter des arguments supplémentaires dans des commandes Git, ce qui peut entraîner une exécution de code à distance. Les attaquants capables d'accéder à un répertoire Git dans Bitbucket pourront exploiter cette faille. Si l'accès publique est activé au niveau d'un projet ou d'un répertoire, les attaquants peuvent donc exploiter cette vulnérabilité de manière anonyme.

Comment vous protéger ? 


→ Si votre instance est hébergée dans le Cloud Valiantys :

Vous bénéficiez ainsi de toute notre expertise et de nos engagements de service. Sachez que nous avons mené une analyse d'impact sur toutes les instances Bitbucket gérées par nos équipes et que nous avons contacté tous les clients concernés en leur soumettant le plan de remédiation. 

Pour les clients dont les instances sont impactées : nous avons appliqué une solution de contournement pour éliminer le risque, qui consiste à installer un plugin spécifiquement développé par Atlassian pour combler cette faille. Notez cependant que l'installation de composants additionnels peut toujours introduire des vulnérabilités. Le plugin protège uniquement la fonctionnalité standard de l'application. Pour obtenir une protection complète contre cette faille, Bitbucket doit être mis à jour.

Les instances impactées par cette faille seront mises à jour par nos services afin de régler définitivement le problème.

Nous vous remercions de votre confiance dans notre offre Cloud et nous restons à votre disposition si vous avez des questions.


→ Si votre instance n'est pas hébergée dans le Cloud Valiantys :

Nous vous recommandons d'installer le plugin développé par Atlassian pour combler cette faille : Télécharger le plugin. Puis de planifier une mise à jour de votre instance Bitbucket dès que possible.

Si vous avez besoin d'assistance pour vérifier votre exposition à cette faille de sécurité, profitez de votre contrat de Support Valiantys et créez un ticket sur notre portail dédié. 
Si vous avez besoin d'aide pour upgrader votre instance, contactez-nous.


Cordialement,

L’équipe de Support Valiantys