Kritická bezpečnostní chyba v Bamboo, 14. červen 2017

16.06.2017 | Co musíte udělat

Oznamujeme kriticky závažnou chybu zabezpečení, která byla zavedena do Bamboo ve verzi 5.1.0. Všechny verze Bamboo začínající od verze 5.0.0 ve všech dalších verzích před 5.15.7 (verze 5.15.7 je opravená verze pro řadu 5.15.x) a od verze 6.0.0 ve všech dalších verzích před 6.0.1 (verze 6.0.1 je opravená verze pro řadu 6.0.x) jsou touto chybou zabezpečení ohroženy.

Nesprávná kontrola oprávnění pro deployment projekty (CVE-2017-8907)

Závážnost

Hodnotíme stupeň závažnosti této chyby zabezpečení jako kritický, podle Atlassian severity levels. Stupnice umožňuje hodnotit závažnost jako kritickou, vysokou, střední nebo nízkou.

Jedná se o nezávislé posouzení. Měli byste zhodnotit jeho použitelnost vzhledem ke svému IT prostředí.

Popis

Bamboo nesprávně zkontroloval, zda uživatel, který vytvořil deployment projekt, měl oprávnění k úpravám, a tedy i práva k tomu. Útočník, který se může přihlásit do Bamboo jako uživatel bez oprávnění k úpravám pro deployment projekty, je schopen tuto chybu zabezpečení použít za předpokladu, že existující plán se zeleným buildem vytvoří deployment projekt a provede spuštění libovolného kódu pomocí dostupného agenta Bamboo. Ve výchozím nastavení je aktivován lokální agent, což znamená, že spuštění kódu může nastat v systému hostování Bamboo jako uživatel spouštějící Bamboo.

Všechny verze Bamboo počínaje od 5.0.0, avšak méně než 5.15.7 (opravená verze pro 5.15.x), a od 6.0.0, avšak méně než 6.0.1 (opravená verze pro 6.0.x), jsou touto chybou zabezpečení ovlivněny. Tento problém můžete sledovat zde: 
https://jira.atlassian.com/browse/BAM-18405

Poděkování

Atlassian děkuje Iordache Cosmin (@ inhibitor181) za to, že je na tuto záležitost upozornil.

Instance Atlassian Cloud již byly aktualizovány na opravenou verzi Bamboo.

Zákazníci, kteří provedli upgrade Bamboo na verzi 5.15.7 nebo na verzi 6.0.1, nejsou ovlivněni. 

Zákazníci, kteří jste si stáhli a nainstalovali verzi Bamboo >= 5.0.0 a menší jako 5.15.7 (verze 5.15.7 je opravená verze pro řadu 5.15.x), aktualizujte si prosím svoje instalace Bamboo, abyste si okamžitě opravili tuto chybu zabezpečení.

Zákazníci, kteří si stáhli a nainstalovali verzi Bamboo >= 6.0.0 a menší jako 6.0.1 (verze 6.0.1 je opravená verze pro řadu 6.0.x), aktualizujte si prosím svoje instalace Bamboo, abyste si okamžitě opravili tuto chybu zabezpečení.

Oprava

Opravené verze, které řeší popsanou chybu jsou tyto:

1. Bamboo verze 5.15.7

2. Bamboo verze 6.0.1

Co musíte udělat

Aktualizujte Bamboo na verzi 6.0.3 nebo vyšší.

Úplný popis poslední verze Bamboo najdete v poznámkách k vydání Bamboo. Můžete si ji stáhnout od download centra.

Pro více informací čtěte zde.

Tým Atlassian v Onlio

Pro lokální podporu neváhejte kontaktovat odborníky na produkty Atlassian ve společnosti Onlio.

Pro další informace o novinkách Atlassian a JIRA sledujte web www.myJIRA.cz.

Diskutujeme také na LinkedIn ve skupině Atlassian komunita CZ & SK.

V případě dotazů se obraťte na atlassian_zavináč_onlio.com nebo na tel. +420222744766

Zpět