軟體開發輔助工具FishEye及Crucible出現目錄遍歷弱點
- 發布單位:TWCERT/CC
- 更新日期:2019-04-02
- 點閱次數:464
CVE編號
CVE-2017-16859
內文
●概述:
澳洲Atlassian公司為程式設計者及專案經理開發輔助工具軟體,旗下商品魚眼(FishEye)係版本控制軟體,搜尋引擎可抽出程式碼資產中豐富的有益資訊,於報表呈現改版差異;另熔爐(Crucible)為協作開發工具,適用多人非同步複審程式碼之聯合設計情境。FishEye與Crucible皆為web介面,被檢測出高風險directory traversal瑕疵,囿於Attachment Review元件對數入字串值中路徑符號(..../.../..)無法檢驗剔除,攻擊者經由程式探勘,可突破路徑存取權限制,不當獲取機密檔案內容,Atlassian已公告升級後版本。
●編註:
Fisheye和Crucible兩套軟體,由於Attachment Review元件為共同弱點成因,俱發生directory traversal,攻擊者開啟瀏覽器介面,對應用程式注入 ..../.../.. 路徑符號,其後附掛目標檔名,因惡意輸入字串未經充分過濾,當成指令參數接續處理,故駭客能在限用資料夾之外取得隱密檔案資料,並發動其他入侵手段。
影響產品
Fisheye 4.3.2之前版本 /Fisheye 4.4.3之前版本/ Fisheye 4.5.0之前版本 /Crucible 4.3.2之前版本 /Crucible 4.4.3之前版本/ Crucible 4.5.0之前版本
解決辦法
(1)參考https://www.atlassian.com/software/crucible/download-archives,下載所需Crucible安裝檔。
(2)參考https://www.atlassian.com/software/fisheye/download-archives,下載所需Fisheye安裝檔。
(2)參考https://www.atlassian.com/software/fisheye/download-archives,下載所需Fisheye安裝檔。
相關連結
- https://exploit.kitploit.com/2018/06/atlassian-fisheye-and-crucible-cve-2017.html
- https://jira.atlassian.com/browse/FE-7061
- https://nvd.nist.gov/vuln/detail/CVE-2017-16859
- https://vuldb.com/?id.120060
- https://zh.wikipedia.org/wiki/Atlassian
- https://confluence.atlassian.com/crucible/crucible-and-fisheye-298977540.html
- https://web.archive.org/web/20070531203816/http://www.cenqua.com/fisheye/
- https://en.wikipedia.org/wiki/FishEye_
- https://web.archive.org/web/20070605084338/http://www.cenqua.com/crucible/
- https://en.wikipedia.org/wiki/Crucible_
- https://ecoreusa.files.wordpress.com/2012/07/logocruciblepng.png?w=300&h=178
- https://jira.atlassian.com/browse/CRUC-8212