ASA-2019-00307 – BitBucket: Path traversal na ferramenta de migração que conduz a execução remota de código (RCE)

O Bitbucket Data Center tinha uma vulnerabilidade de path traversal na ferramenta de migração do Data Center. Um atacante remoto com usuário autenticado com permissões de administrador pode explorar essa vulnerabilidade de path traversal para gravar arquivos em locais arbitrários que podem levar à execução remota de código em sistemas que executam uma versão vulnerável do Bitbucket Data Center. As versões do Bitbucket Server sem uma licença do Data Center não são vulneráveis a esta vulnerabilidade.

ASA-2019-00306 – curl: Buffer overflow em recebimento TFTP

O libcurl contém um heap buffer overflow na função ('tftp_receive_packet()') que recupera dados de um servidor TFTP. Ele chama 'recvfrom()' com o tamanho padrão para o buffer e não com o tamanho que foi usado para alocá-lo. Portanto, o conteúdo que pode sobrescrever a memória heap é inteiramente controlado pelo servidor. A falha existe se o usuário selecionar usar um "blksize" de 504 ou menor (o padrão é 512). Quanto menor o tamanho usado, maior será o possível overflow. Os usuários que escolhem um tamanho menor que o padrão devem ser raros, já que o caso de uso principal para alterar o tamanho é torná-lo maior.

ASA-2019-00305 – curl: Integer overflows em curl_url_set()

O libcurl contém dois integer overflows na função curl_url_set() que, se acionados, podem levar a uma alocação de buffer muito pequena e a um heap buffer overflow subsequente. As falhas existem apenas em arquiteturas de 32 bits e exigem comprimentos excessivos de entrada de strings.

ASA-2019-00304 – WebKit: Múltiplas vulnerabilidades de corrupção de memória

O processamento de conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos. Vários problemas de corrupção de memória foram abordados com melhor manuseio de memória.

ASA-2019-00303 – WebKit: Múltiplas vulnerabilidades de corrupção de memória

O processamento de conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos. Vários problemas de corrupção de memória foram abordados com melhor manuseio de memória.