按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

軟體開發輔助工具FishEye及Crucible出現目錄遍歷弱點

CVE編號 CVE-2017-16859
影響產品 Fisheye 4.3.2之前版本 /Fisheye 4.4.3之前版本/ Fisheye 4.5.0之前版本 /Crucible 4.3.2之前版本 /Crucible 4.4.3之前版本/ Crucible 4.5.0之前版本
解決辦法 (1)參考https://www.atlassian.com/software/crucible/download-archives,下載所需Crucible安裝檔。
(2)參考https://www.atlassian.com/software/fisheye/download-archives,下載所需Fisheye安裝檔。
張貼日 2018-07-02
上稿單位 TWCERT/CC

●概述:
澳洲Atlassian公司為程式設計者及專案經理開發輔助工具軟體,旗下商品魚眼(FishEye)係版本控制軟體,搜尋引擎可抽出程式碼資產中豐富的有益資訊,於報表呈現改版差異;另熔爐(Crucible)為協作開發工具,適用多人非同步複審程式碼之聯合設計情境。FishEye與Crucible皆為web介面,被檢測出高風險directory traversal瑕疵,囿於Attachment Review元件對數入字串值中路徑符號(..../.../..)無法檢驗剔除,攻擊者經由程式探勘,可突破路徑存取權限制,不當獲取機密檔案內容,Atlassian已公告升級後版本。

●編註:
Fisheye和Crucible兩套軟體,由於Attachment Review元件為共同弱點成因,俱發生directory traversal,攻擊者開啟瀏覽器介面,對應用程式注入 ..../.../.. 路徑符號,其後附掛目標檔名,因惡意輸入字串未經充分過濾,當成指令參數接續處理,故駭客能在限用資料夾之外取得隱密檔案資料,並發動其他入侵手段。

相關連結

  1. https://exploit.kitploit.com/2018/06/atlassian-fisheye-and-crucible-cve-2017.html
  2. https://jira.atlassian.com/browse/FE-7061
  3. https://nvd.nist.gov/vuln/detail/CVE-2017-16859
  4. https://vuldb.com/?id.120060
  5. https://zh.wikipedia.org/wiki/Atlassian
  6. https://confluence.atlassian.com/crucible/crucible-and-fisheye-298977540.html
  7. https://web.archive.org/web/20070531203816/http://www.cenqua.com/fisheye/
  8. https://en.wikipedia.org/wiki/FishEye_
  9. https://web.archive.org/web/20070605084338/http://www.cenqua.com/crucible/
  10. https://en.wikipedia.org/wiki/Crucible_
  11. https://ecoreusa.files.wordpress.com/2012/07/logocruciblepng.png?w=300&h=178
  12. https://jira.atlassian.com/browse/CRUC-8212
回頁首