Atlassian Fisheye＆Crucible 任意命令注入漏洞公告

1

综述

今年11月，斗象科技能力中心（简称TCC）pnig0s发现Atlassian旗下产品Fisheye和Crucible存在任意命令执行漏洞。

Fisheye&Crucible是Atlassian公司旗下基于WEB的源码库深度管理软件，支持SVN,CVS,GIT,Mercurial和P4force等多种版本控制软件，应用广泛。

Fisheye具有强大的代码比对功能，可以比较任意两个文件之间的差异，便于问题排查；同时具有详细的文件注释功能。Fisheye对每一个源文件都进行了注释，包括作者、提交日期、版本号、以及提交代码等，并通过直观的图表进行显示；

2

漏洞概述

漏洞类型： 远程任意命令执行漏洞

危险等级： 严重

受影响版本：Atlassian Fisheye and Crucible version

4.5.0

3

漏洞编号

CVE-2017-14591 Fisheye and Crucible任意命令注入漏洞

4

漏洞描述

Fisheye 和 Crucible没有验证Mercurial仓库的文件名称是否合法，导致攻击者能够通过构造恶意的文件名称注入hg参数从而利用hg参数功能执行任意系统命令。Fisheye和Crucible 4.4.3之前所有版本和4.5.0之前所有版本均受影响。

5

修复建议

升级Fisheye和Crucible至4.4.3或4.5.1版本

参考链接：

https://confluence.atlassian.com/fisheye/fisheye-and-crucible-security-advisory-2017-11-29-939939753.html

https://jira.atlassian.com/browse/FE-6955

https://jira.atlassian.com/browse/CRUC-8121