Bamboo-重要安全建议公告

我们特此向您预警，我们将在此公布关于Bamboo产品的一项重要安全建议公告。

公告中披露了一项重要且严重的安全漏洞，这个漏洞已经在Bamboo的2.3.1版本中介绍了。从Bamboo的2.3.1版本开始到5.11.4.1之前的版本 (5.11.x的版本)和从5.12.0到5.12.3.1之前的版本（5.12.x的版本）都受到了此漏洞的影响。

Atlassian Cloud实例已升级至不存在本文所描述的安全问题的Bamboo版本。

已经将Bamboo升级至5.11.4.1或5.12.3.1版本的用户将不会受到影响。

特别提醒：

已经下载并安装Bamboo＞＝2.3.1版本且不到5.11.4.1版本（5.11.x的版本）的用户

已经下载并安装Bamboo＞＝5.12.0版本且不到5.12.3.1版本（5.12.x的版本）的用户

请立即升级您的Bamboo版本以修复此漏洞。

通过对允许进行反序列化类别(CVE-2016-5229)的不完全限制导致了反序列化，进而导致远程代码执行

问题描述

Bamboo有一个可通过创建代理进行反序列化输入的资源，而且在这个资源中并没有对于可反序列化的类进行完全限制。如果想要利用此漏洞的话，黑客们需要一个有效的Bamboo代理指纹或者能够以Bamboo代理的身份运行代码。

Bamboo从2.3.1版本开始到5.11.4.1之前的版本 (5.11.x的版本)和从5.12.0到5.12.3.1之前的版本（5.12.x的版本）都受到了此漏洞的影响。

现在，您需要做什么?

升级（推荐）

漏洞和修复版本请见以上说明。Atlassian建议您升级到最新版本。此次升级将自动重构您的Bamboo，以形成一个安全的反序列模式。

升级Bamboo至5.12.3.1或以上版本，具体操作如下：

如果您正在使用的是Bamboo 5.11.x的版本且无法升级至5.12.3.1版本，可升级至5.11.4.1版本。

如果您正在使用的是Bamboo 5.10.x的版本且无法升级至5.11.4.1或5.12.3.1版本，那么您可以按照以下步骤进行设置以解决问题：

1.使用管理员账号登录Bamboo，从/admin/configureSecurity.action进入Bamboo administration > Security> Security settings（Bamboo管理>安全>安全设置），例如http://bamboo-host/bamboo/admin/configureSecurity.action

2. 在Serialization protection methods （序列化保护方法）中，将XStream设置为Whitelist（白名单）。

3. 点击保存

4. 刷新安全设置页面，检查XStream是否在 Whitelist （白名单）中。

序列化设置请见 Serialization protection methods

Bamboo最新版本的完整说明请点此查看，您可以在这里下载最新版本的Bamboo产品。

CSDN开发服务为企业提供ALM（应用全生命周期管理）解决方案，致力于打造基于研发管理前沿、开放的工具产品集群（如Atlassian、Sonar、Jenkins等），结合CSDN CODE等研发工具的高效率、高质量和高可靠性企业级研发管理平台，为企业软件开发生命周期内各阶段、各部门、各角色提供全流程、全方位的跟踪和综合管理。截止目前，CSDN ALM解决方案已服务于包括华为、中国移动通信研究院、嘀嘀打车、广联达、招商银行、南粤银行等在内的数百家行业企业及互联网企业。