Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Atlassian Bitbucket Server, kritik RCE güvenlik açığına karşı savunmasız


Parçalanan bir kırmızı kaya üzerinde Atlassian metin

Atlassian, Bitbucket Server ve Data Center kullanıcılarını, saldırganların savunmasız örnekler üzerinde rastgele kod yürütmek için kullanabileceği kritik bir güvenlik açığı konusunda uyaran bir güvenlik tavsiyesi yayınladı.

Bitbucket, Jira ve Trello entegrasyonuna sahip Git tabanlı bir kod barındırma, yönetim ve işbirliği aracıdır.

En son kusur şu şekilde izlenir: CVE-2022-36804 ve yazılım ürününün birden çok API uç noktasına bir komut enjeksiyonudur. CVSS aldı 9,9 önem derecesi puanı maksimum 10.0 üzerinden, bu, hemen yamalanması gereken kritik bir güvenlik açığıdır.

“Bir saldırgana erişimi olan bir halka açık deposu veya özel bir Bitbucket deposuna okuma izinleri olan bir depo, kötü amaçlı bir HTTP isteği göndererek rastgele kod yürütebilir” diye açıklıyor. Atlassian’ın danışmanlığı.

Güvenlik açığı, 7.0.0 ve 8.3.0’a kadar olan sürümler dahil 6.10.17’den sonraki tüm Bitbucket Sunucu ve Veri Merkezi sürümlerini etkiler.

Sorunu çözen sürümler 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 ve 8.3.1’dir. Ne yazık ki, 6.x dalının daha eski ve desteklenmeyen sürümleri bu kusur için bir düzeltme almayacak.

Sabit sürümler tablosu
Sabit sürümler tablosu (Atlasyalı)

Güvenlik güncellemelerini uygulayamayanlara, “feature.public.access=false” kullanarak genel depoları kapatarak geçici kısmi azaltma uygulamaları önerilir.

Bu şekilde, örnekler yetkisiz kullanıcılar tarafından erişilemez; ancak, geçerli kimlik bilgilerini tehlikeye atan tehdit aktörleri gibi yetkili kullanıcılar yine de saldırılar gerçekleştirebilir.

Atlassian, Bitbucket’e bitbucket.org etki alanları aracılığıyla erişenlerin kritik RCE’den etkilenmediğini, çünkü satıcının bu örnekleri barındırdığını belirtiyor.

PoC yolda

Temmuz 2022’de CVE-2022-36804’ü keşfeden güvenlik araştırmacısı, maksimum garrettşirketin Bugcrowd’daki hata ödül programı aracılığıyla Atlassian’a bildirdi ve bulgusu için 6.000 dolar aldı.

Dün, genç araştırmacı Twitter’da hata için 30 gün içinde bir kavram kanıtı (PoC) açığı yayınlayacağına söz verdi ve sistem yöneticilerine mevcut düzeltmeleri uygulamak için rahat bir zaman aralığı verdi.

cıvıldamak

PoC’nin piyasaya sürülmesi, kritik RCE kusurunun bilgisayar korsanları tarafından aktif olarak kullanılmasında bir artışa neden olacak, ancak bunun daha erken olmayacağının garantisi yok.

Garrett, BleepingComputer’a Atlassian’ın ters mühendislik yamasının yetenekli bilgisayar korsanları için çok zor olmaması gerektiğini söyledi.

Uzaktan kod yürütme, tüm güvenlik açığı türlerinin en güçlüsüdür ve saldırganların tüm güvenlik önlemlerini atlayarak kapsamlı hasar vermesini sağlar, bu nedenle amaç oradadır.

Bununla birlikte, Bitbucket Sunucusu ve Veri Merkezi kullanıcılarının mümkün olan en kısa sürede mevcut güvenlik güncellemesini veya azaltmalarını uygulamaları tavsiye edilir.



İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.