Atlassian hat bekannt gegeben, dass in Bamboo eine kritische Sicherheitslücke in den Bamboo Elastic Agent Windows Stock Images (Windows 2012) existiert, welche mit Bamboo 5.8.0 freigegeben wurden.

Sicherheitslücke im Windows Stock Image (Windows Server 2012 R2) AMI

Bei der Lücke handelt es sich um eine SSH-Authorisierungsschwäche. Es existieren für einen Benutzer hartkodierte Zugangsdaten im Windows Server 2012 R2-AMI, was Angreifern potenziell SSH-Zugang zu beliebigen Bamboo-Instanzen ermöglicht.

Bamboo-Kunden, welche Elastic Bamboo oder andere Images als Windows 2012 (z.B. Windows 2008) einsetzen, sind nicht betroffen. Atlassian hat auch alle Cloud Bamboo-Instanzen bereits auf den neusten Stand gebracht. Server-Installationen sind nur betroffen, falls Bamboo Server 5.8.0 oder 5.8.1 vor dem 01 Apr 2015 heruntergeladen wurden.

In Bamboo 5.8.0 und 5.8.1 wurde das Windows Stock Image (Windows Server 2012 R2) AMI mit einem ‚bamboo‘-User ausgeliefert, welcher ein öffentlich bekanntes Passwort besitzt. Während der Benutzer zwar nicht via Remote Desktop auf den Server zugreifen kann, so ist der Zugang via SSH möglich. Dem Angreifer ist es so möglich, beliebige Kommandos auf dem Elastic Agent auszuführen und Zugriff auf alle Dateien, die im Rahmen eines Builds erzeugt wurden, zuzugreifen.

Betroffene Server-Instanzen

Ein Bamboo Server kann betroffen sein, falls einer oder mehrere der folgenden Punkte zutreffen:

  • Bamboo wurde in Version 5.8.0 oder 5.8.1. zwischen dem 17.3.2015 und 01.04.2015 betrieben
  • Ein Build wurde mittels eines Windows-Elastic Agents AMI ausgeführt und Port 22 (SSH) war öffentlich zugänglich.
  • Ein Build wurde vor dem 01.04.2015 ausgeführt (das entsprechende Passwort ist am 01. April abgelaufen)

Betroffene Cloud-Instanzen

  • Bamboo wurde in Version 5.8.0 oder 5.8.1. zwischen dem 17.3.2015 und 01.04.2015 betrieben
  • Ein Build wurde zwischen dem 16. März 2015 und 01. April 2015 oder dem 11. Mai 2015 und dem 02. Juni 2015 ausgeführt.

Fix

Atlassian hat folgende Schritte unternommen, um die Lücke zu schließen:

  • Alle betroffenen AMIs wurden deaktiviert und Bamboo wird beim Start eine Exception werfen, falls eine dieser AMI verwendet werden sollte
  • Bamboo Cloud wurde aktualisiert und verwendet keine der betroffenen AMIs mehr.
  • Bamboo Server 5.9.0 wurde mit korrigierten AMIs verfügbar gemacht unter https://www.atlassian.com/software/bamboo/download

Betroffene AMI

Falls ein AMI auf Grundlage einer der folgenden AMI Identifier erzeugt wurde, sollte das AMI neu erstellt werden. Sollte eine entsprechende individuelle Image-Konfiguration durchgeführt worden sein, so sollte man die AMI ID durch eine mit dem Hotfix aktualisieren.

ami-0341fb1e
ami-03a9db39
ami-04ccf46c
ami-0ecaf813
ami-1cb0824e
ami-22033f3f
ami-23668567
ami-28ae5428
ami-31ec692c
ami-3f503148
ami-449faa16
ami-58667c1d
ami-5a300c47
ami-6697dd0e
ami-6ca79b04
ami-7606ff76
ami-79c1233d
ami-95a822e2
ami-975e75a7
ami-9df94780
ami-b182e5c6
ami-b65f6de4
ami-c5e305c5
ami-dbe295e1
ami-e3374ad9
ami-e93b11d9
ami-fb1c38cb

Die folgenden AMI beinhalten den Hotfix und sind Teil von Bamboo 5.9:

Region AMI ID
Asia Pacific (Singapore) – ap-southeast-1 ami-c21a2390
South America (Sao Paulo) – sa-east-1 ami-f550d6e8
US East (N. Virginia) – us-east-1 ami-50697038
EU (Frankfurt) – eu-central-1 ami-e0f4cafd
EU (Ireland) – eu-west-1 ami-1f750268
US West (Oregon) – us-west-2 ami-77764b47
Asia Pacific (Tokyo) – ap-northeast-1 ami-b4f520b4
Asia Pacific (Sydney) – ap-southeast-2 ami-fb81ffc1
US West (N. California) – us-west-1 ami-6b3bd22f

Achtung: Atlassian veröffentlicht keine Binärpatches mehr

Atlassian gibt neue Minor-Versionen für kritische Sicherheitspatches für die Major-Versionen seiner Produkte bis 12 Monate nach Release frei (Beispiel: JIRA, Confluence). Atlassians End of Life Policy unterscheidet sich von Produkt zu Produkt. Unter den folgenden Links sind weitere Informationen zu finden: