Recursos
afectados:
Bitbucket
Data Center versiones:
- de
6.1.0 hasta 6.1.1
- de
6.0.0 hasta 6.0.2
- de
5.16.0 hasta 5.16.2
- de
5.15.0 hasta 5.15.2
- de
5.14.0 hasta 5.14.3
- de
5.13.0 hasta 5.13.5
Recomendación
1)
Atlassian
recomienda actualizar a la última versión de Bitbucket Data Center, cuya
descripción se puede consultar en las notas
de la versión. Puede descargar la última versión de Bitbucket Data Center
desde el centro
de descargas.
a) Actualice Bitbucket Data Center a la
versión 6.1.2 o superior.
b) Si no puede actualizar a 6.1.2,
actualize a las versiones siguientes que contienen parches para solucionar esta
vulnerabilidad y están disponibles para su descarga:
i) Si está ejecutando las versiones 6.0.x
actualice a la versión 6.0.3
ii) Si está ejecutando las versiones
5.16.x actualice a la versión 5.16.3
iii) Si está ejecutando las versiones
5.15.x actualice a la versión 5.15.3
iv) Si está ejecutando las versiones
5.14.x actualice a la versión 5.14.4
v) Si está ejecutando las versiones
5.13.x actualice a la versión 5.13.6
Detalle
de vulnerabilidades
- Un atacante remoto con usuario
autenticado con permisos de administrador puede explotar esta
vulnerabilidad de incorrecta limitación de rutas de directorios (path
transversal) para escribir archivos en ubicaciones arbitrarias, lo que
puede llevar a la ejecución remota de código en sistemas que ejecutan una
versión vulnerable de Bitbucket Data Center. Las versiones de Bitbucket
Server sin licencia del Centro de Datos no son vulnerables. Se ha
reservado el CVE-2019-3397 para esta vulnerabilidad.
Más
información
- Bitbucket
Server security advisory 2019-05-22 https://confluence.atlassian.com/bitbucketserver/bitbucket-server-security-advisory-2019-05-22-969526871.html
- Bitbucket
Data Center - Path traversal in the migration tool leads to RCE -
CVE-2019-3397 https://jira.atlassian.com/browse/BSERV-11706?_ga=2.70495504.1225917801.1558680081-481211853.1558680081
Fuente:
INCIBE