Sicherheitslücke CVE-2018-5226 in Sourcetree for Windows

Publiziert am 5. Mai 2018 von Günter Born

In Sourcetree for Windows gibt es in Versionen vor der 2.5.5.0 eine kritische Sicherheitslücke. Wer die Software einsetzt, sollte auf die Version 2.5.5.0 aktualisieren.

Anzeige

Sourcetree for Windows ist ein kostenloser Git-Client für Windows und Mac. Dieser vereinfacht die Handhabung von Git-Repositorys, damit man sich ganz auf das Programmieren konzentrieren kann. Über eine eigene Git-GUI von Sourcetree kannst man die Github-Repositorys visualisieren und verwalten.

SourceTree Git-Client
(Quelle: atlassian.com)

Im Programm gibt es vor Version 2.5.5.0 eine kritische Sicherheitslücke CVE-2018-5226 (Argument injection via Mercurial tag names on Windows), die in diesem Dokument des Entwicklers beschrieben ist. Eine Bugmeldung findet sich auf seclists.org.

Es handelt sich um eine Argument-Injektions-Schwachstelle in Sourcetree für Windows über den Mercurial-Repository-Tag-Namen, die gelöscht werden soll. Ist ein Mercurial-Repository Sourcetree für Windows verlinkt und hat ein Angreifer die Berechtigung, ein Tag auf einem Mercurial-Repository zu erstellen, kann er durch Injektion von Befehlen eine Berechtigung zur Codeausführung auf dem System erlangen.

Die Lösung, die der Hersteller empfiehlt: Über die Webseite www.sourcetreeapp.com auf SourceTree for Windows Version 2.5.5.0 oder höher zu aktualisieren.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.