1
综述
今年11月,斗象科技能力中心(简称TCC)pnig0s发现Atlassian旗下产品Fisheye和Crucible存在任意命令执行漏洞。
Fisheye&Crucible是Atlassian公司旗下基于WEB的源码库深度管理软件,支持SVN,CVS,GIT,Mercurial和P4force等多种版本控制软件,应用广泛。
Fisheye具有强大的代码比对功能,可以比较任意两个文件之间的差异,便于问题排查;同时具有详细的文件注释功能。Fisheye对每一个源文件都进行了注释,包括作者、提交日期、版本号、以及提交代码等,并通过直观的图表进行显示;
2
漏洞概述
漏洞类型: 远程任意命令执行漏洞
危险等级: 严重
受影响版本:Atlassian Fisheye and Crucible version
4.5.0
3
漏洞编号
CVE-2017-14591 Fisheye and Crucible任意命令注入漏洞
4
漏洞描述
Fisheye 和 Crucible没有验证Mercurial仓库的文件名称是否合法,导致攻击者能够通过构造恶意的文件名称注入hg参数从而利用hg参数功能执行任意系统命令。Fisheye和Crucible 4.4.3之前所有版本和4.5.0之前所有版本均受影响。
5
修复建议
升级Fisheye和Crucible至4.4.3或4.5.1版本
参考链接:
https://confluence.atlassian.com/fisheye/fisheye-and-crucible-security-advisory-2017-11-29-939939753.html
https://jira.atlassian.com/browse/FE-6955
https://jira.atlassian.com/browse/CRUC-8121
领取专属 10元无门槛券
私享最新 技术干货