In Sourcetree for Windows gibt es in Versionen vor der 2.5.5.0 eine kritische Sicherheitslücke. Wer die Software einsetzt, sollte auf die Version 2.5.5.0 aktualisieren.
Anzeige
Sourcetree for Windows ist ein kostenloser Git-Client für Windows und Mac. Dieser vereinfacht die Handhabung von Git-Repositorys, damit man sich ganz auf das Programmieren konzentrieren kann. Über eine eigene Git-GUI von Sourcetree kannst man die Github-Repositorys visualisieren und verwalten.
(Quelle: atlassian.com)
Im Programm gibt es vor Version 2.5.5.0 eine kritische Sicherheitslücke CVE-2018-5226 (Argument injection via Mercurial tag names on Windows), die in diesem Dokument des Entwicklers beschrieben ist. Eine Bugmeldung findet sich auf seclists.org.
Es handelt sich um eine Argument-Injektions-Schwachstelle in Sourcetree für Windows über den Mercurial-Repository-Tag-Namen, die gelöscht werden soll. Ist ein Mercurial-Repository Sourcetree für Windows verlinkt und hat ein Angreifer die Berechtigung, ein Tag auf einem Mercurial-Repository zu erstellen, kann er durch Injektion von Befehlen eine Berechtigung zur Codeausführung auf dem System erlangen.
Die Lösung, die der Hersteller empfiehlt: Über die Webseite www.sourcetreeapp.com auf SourceTree for Windows Version 2.5.5.0 oder höher zu aktualisieren.