Bamboo-重要安全建议公告
我们特此向您预警,我们将在此公布关于Bamboo产品的一项重要安全建议公告。
公告中披露了一项重要且严重的安全漏洞,这个漏洞已经在Bamboo的2.3.1版本中介绍了。从Bamboo的2.3.1版本开始到5.11.4.1之前的版本 (5.11.x的版本)和从5.12.0到5.12.3.1之前的版本(5.12.x的版本)都受到了此漏洞的影响。
Atlassian Cloud实例已升级至不存在本文所描述的安全问题的Bamboo版本。
已经将Bamboo升级至5.11.4.1或5.12.3.1版本的用户将不会受到影响。
特别提醒:
已经下载并安装Bamboo>=2.3.1版本且不到5.11.4.1版本(5.11.x的版本)的用户
已经下载并安装Bamboo>=5.12.0版本且不到5.12.3.1版本(5.12.x的版本)的用户
请立即升级您的Bamboo版本以修复此漏洞。
通过对允许进行反序列化类别(CVE-2016-5229)的不完全限制导致了反序列化,进而导致远程代码执行
问题描述
Bamboo有一个可通过创建代理进行反序列化输入的资源,而且在这个资源中并没有对于可反序列化的类进行完全限制。如果想要利用此漏洞的话,黑客们需要一个有效的Bamboo代理指纹或者能够以Bamboo代理的身份运行代码。
Bamboo从2.3.1版本开始到5.11.4.1之前的版本 (5.11.x的版本)和从5.12.0到5.12.3.1之前的版本(5.12.x的版本)都受到了此漏洞的影响。
现在,您需要做什么?
升级(推荐)
漏洞和修复版本请见以上说明。Atlassian建议您升级到最新版本。此次升级将自动重构您的Bamboo,以形成一个安全的反序列模式。
升级Bamboo至5.12.3.1或以上版本,具体操作如下:
如果您正在使用的是Bamboo 5.11.x的版本且无法升级至5.12.3.1版本,可升级至5.11.4.1版本。
如果您正在使用的是Bamboo 5.10.x的版本且无法升级至5.11.4.1或5.12.3.1版本,那么您可以按照以下步骤进行设置以解决问题:
1.使用管理员账号登录Bamboo,从/admin/configureSecurity.action进入Bamboo administration > Security> Security settings(Bamboo管理>安全>安全设置),例如http://bamboo-host/bamboo/admin/configureSecurity.action
2. 在Serialization protection methods (序列化保护方法)中,将XStream设置为Whitelist(白名单)。
3. 点击保存
4. 刷新安全设置页面,检查XStream是否在 Whitelist (白名单)中。
序列化设置请见 Serialization protection methods
Bamboo最新版本的完整说明请点此查看,您可以在这里下载最新版本的Bamboo产品。
CSDN开发服务为企业提供ALM(应用全生命周期管理)解决方案,致力于打造基于研发管理前沿、开放的工具产品集群(如Atlassian、Sonar、Jenkins等),结合CSDN CODE等研发工具的高效率、高质量和高可靠性企业级研发管理平台,为企业软件开发生命周期内各阶段、各部门、各角色提供全流程、全方位的跟踪和综合管理。截止目前,CSDN ALM解决方案已服务于包括华为、中国移动通信研究院、嘀嘀打车、广联达、招商银行、南粤银行等在内的数百家行业企业及互联网企业。