独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月19日、Atlassian製BitbucketのインストールディレクトリのACL設定不備による権限昇格の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。Bitbucket 6.10.9 より前のバージョンBitbucket 7.6.4 より前のバージョンBitbucket 7.7.x 系すべてのバージョンBitbucket 7.8.x 系すべてのバージョンBitbucket 7.9.x 系すべてのバージョンBitbucket 7.10.0Atlassianが提供するソースコードおよびプロジェクト管理ツールBitbucketのインストーラには、「C:\Atlassian\Bitbucket\」のようなデフォルトのインストールディレクトリに対してACLを適切に設定できず、そのため管理者権限を持たないWindowsユーザに当該フォルダに悪意のあるDLLファイルを配置され、SYSTEM権限で任意のコードを実行してしまう可能性がある。JVNでは、開発者が提供する情報をもとに、本脆弱性の対策としてリリースしたBitbucket 6.10.9、Bitbucket 7.6.4、Bitbucket 7.10.1にアップデートするよう注意を呼びかけている。
Microsoft Windows において ComputerDefaults.exe のレジストリ処理により UAC による制限が回避可能となる手法(Scan Tech Report)2021.2.15 Mon 8:15
