In Sourcetree for Windows gibt es in Versionen vor der 2.5.5.0 eine kritische Sicherheitslücke. Wer die Software einsetzt, sollte auf die Version 2.5.5.0 aktualisieren.
Sourcetree for Windows ist ein kostenloser Git-Client für Windows und Mac. Dieser vereinfacht die Handhabung von Git-Repositorys, damit man sich ganz auf das Programmieren konzentrieren kann. Über eine eigene Git-GUI von Sourcetree kannst man die Github-Repositorys visualisieren und verwalten.
(Quelle: atlassian.com)
Im Programm gibt es vor Version 2.5.5.0 eine kritische Sicherheitslücke CVE-2018-5226 (Argument injection via Mercurial tag names on Windows), die in diesem Dokument des Entwicklers beschrieben ist. Eine Bugmeldung findet sich auf seclists.org.
Es handelt sich um eine Argument-Injektions-Schwachstelle in Sourcetree für Windows über den Mercurial-Repository-Tag-Namen, die gelöscht werden soll. Ist ein Mercurial-Repository Sourcetree für Windows verlinkt und hat ein Angreifer die Berechtigung, ein Tag auf einem Mercurial-Repository zu erstellen, kann er durch Injektion von Befehlen eine Berechtigung zur Codeausführung auf dem System erlangen.
Die Lösung, die der Hersteller empfiehlt: Über die Webseite www.sourcetreeapp.com auf SourceTree for Windows Version 2.5.5.0 oder höher zu aktualisieren.
MVP: 2013 – 2016
