zurück zum Artikel

Kritische Lücken im Git-Client Sourcetree gefährden Computer

Kritische Lücken im Entwickler-Werkzeug Sourcetree gefährden Computer

(Bild: geralt)

Es gibt wichtige Sicherheitsupdates für Sourcetree von Atlassian. MacOS- und Windows-Nutzer sollten die abgesicherten Ausgaben zügig installieren.

Verschiedene macOS- und Windows-Versionen des Entwickler-Tools Sourcetree sind verwundbar. Mit vergleichsweise wenig Aufwand könnten Angreifer aus der Ferne Schadcode auf Computer schieben und ausführen.

Sourcetree ist eine grafische Benutzeroberfläche, in der man Git- und Mercurial-Projekte verwalten kann. Den Client gibt es kostenlos für Mac- und Windows-Computer.

In einem Sicherheitshinweis versichert Atlassian [1], die Lücken (CVE-2018-20234, CVE-2018-20235, CVE-2018-17456, CVE-2018-20236) in der macOS-Version ab 3.1.1 und unter Windows ab der Ausgabe 3.0.17 geschlossen zu haben. Verwundbar sollen alle Versionen ab 05.a (Windows) und 1.2 (macOS) sein.

Für einen erfolgreichen Angriff müsste ein entfernter Angreifer Commit-Rechte für ein in Sorucetree verlinktes Git- oder Mercurial-Projekt haben. Außerdem soll eine Schadcode-Attacke durch das alleinige Senden eines URI an Windows-Systeme mit verwundbarer Sourcetree-Version ausführbar sein. (des [2])


URL dieses Artikels:
https://www.heise.de/-4341489

Links in diesem Artikel:
[1] https://confluence.atlassian.com/sourcetreekb/sourcetree-security-advisory-2019-03-06-966678691.html
[2] mailto:des@heise.de