Atlassian Fisheye&Crucible 任意命令注入漏洞公告

1

综述

今年11月,斗象科技能力中心(简称TCC)pnig0s发现Atlassian旗下产品Fisheye和Crucible存在任意命令执行漏洞。

Fisheye&Crucible是Atlassian公司旗下基于WEB的源码库深度管理软件,支持SVN,CVS,GIT,Mercurial和P4force等多种版本控制软件,应用广泛。

Fisheye具有强大的代码比对功能,可以比较任意两个文件之间的差异,便于问题排查;同时具有详细的文件注释功能。Fisheye对每一个源文件都进行了注释,包括作者、提交日期、版本号、以及提交代码等,并通过直观的图表进行显示;

2

漏洞概述

漏洞类型: 远程任意命令执行漏洞

危险等级: 严重

受影响版本:Atlassian Fisheye and Crucible version

4.5.0

3

漏洞编号

CVE-2017-14591 Fisheye and Crucible任意命令注入漏洞

4

漏洞描述

Fisheye 和 Crucible没有验证Mercurial仓库的文件名称是否合法,导致攻击者能够通过构造恶意的文件名称注入hg参数从而利用hg参数功能执行任意系统命令。Fisheye和Crucible 4.4.3之前所有版本和4.5.0之前所有版本均受影响。

5

修复建议

升级Fisheye和Crucible至4.4.3或4.5.1版本

参考链接:

https://confluence.atlassian.com/fisheye/fisheye-and-crucible-security-advisory-2017-11-29-939939753.html

https://jira.atlassian.com/browse/FE-6955

https://jira.atlassian.com/browse/CRUC-8121

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171211B0RGAE00?refer=cp_1026

扫码关注云+社区