Sourcetree Security Advisory 2019-06-05

関連コンテンツ

  • 関連コンテンツがありません

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Sourcetree - RCE on Sourcetree for Windows - CVE-2019-11582

要約

CVE-2019-11582 - RCE on Sourcetree for Windows

勧告のリリース日

  12:00 PM PDT (Pacific Time, -7 hours)

製品Sourcetree for Windows

Affected Sourcetree for Windows Versions

0.5a <= version < 3.1.3

ここをクリックして展開...

3.1.2
3.0.17
3.0.15-beta-2612
3.0.15
3.0.10
3.0.12
3.0.9
3.0.9-beta-2351
3.0.6
3.0.8
3.0.5
3.0.3
3.0.0-beta-2125
3.0.0-beta-2101
3.0.0-beta-1983
3.0.0-beta-1962
3.0.0-beta-1930
2.6.9.
2.6.9
2.6.9-beta-0
2.6.7
2.6.6
2.6.6-beta-0
2.6.3
2.6.3-beta-0
2.6.1-beta-1
2.6.0-beta-0
2.5.5.0
2.4.8.0
2.4.7.0
2.4.4-beta-0
2.3.5.0
2.3.1.0
2.2.4.0
2.1.7.0
2.1.6-beta-0
2.1.5-beta-0
2.1.2.5
2.1.4-beta-0
2.1.2.4
2.1.2.3
2.0.12-beta-1
1.10.23.1
1.10.22.1
1.10.21.1
2.0.11-beta-1
2.0.9-beta-1
2.0.8-beta-1
1.10.19.1
1.10.20.1
1.10.18.1
1.10.15.4
1.10.14-beta-2
1.9.10.0
1.9.9.20
1.9.6.2
1.9.7-beta-2
1.9.7-beta-1
1.9.6.1
1.9.7-beta-0
1.9.7
1.9.6-beta-0
1.9.6
1.9.5.0
1.9.4-beta-1
1.9.4-beta-0
1.10.0-alpha-1
1.9.3-beta-1
1.9.3-beta-0
1.9.2-beta-1
1.9.1-beta-1
1.9.0-beta-5
1.8.2.11
1.8.2.3
1.8.2.2
1.8.3
1.8.2
1.8.1
1.8.0.36401
1.6.25
1.6.24
1.6.23
1.6.22
1.6.21
1.6.20
1.6.19
1.6.18
1.6.17
1.6.16
1.6.15004
1.6.15003
1.6.15001
1.6.15
1.6.14
1.6.13002
1.6.13001
1.6.12002
1.6.13
1.6.12001
1.6.12
1.6.11
1.6.10
1.6.9
1.6.9003
1.6.9002
1.6.9001
1.6.8
1.6.7
1.6.6
1.6.5
1.7
1.6.3
1.6.4
1.6.2
1.6.1
1.6
1.5.2
1.5.1
1.4.1
1.5.0
1.4.0
1.3.3
1.3.2
1.3.1
1.3.0
1.2.4
1.2.3
1.2.2
1.2.1
1.2.0
1.1.1
1.0.8
1.0.7
1.0.6
1.0.5
1.0.4
1.0.3
1.1
1.0.2
1.0.1
0.9.4
0.9.2.3
0.9.2.2
0.9.3
0.9.2.1
0.9.2
0.9.1.2
0.9.1.1
0.9.0.6b
0.9.0.5b
0.9.0.4b
0.9.0.3b
0.9.0.2b
0.9.1
0.9.0.1b
0.8.5b
0.8.4b
0.8.3b
0.8.2b
0.8.1b
1.0.0
0.9b
0.8b
0.5a

Fixed Sourcetree for Windows Versions

3.1.3
CVE IDCVE-2019-11582


脆弱性の概要

This advisory discloses a critical severity security vulnerability which was introduced in version 0.5a of Sourcetree for Windows. Versions of Sourcetree for Windows starting with 0.5a before 3.1.3 are affected by this vulnerability. 

Customers who have upgraded Sourcetree for Windows to version 3.1.3 are not affected.

Customers who have downloaded and installed Sourcetree for Windows all versions prior to 3.1.3.


Please upgrade your Sourcetree for Windows installations immediately to fix this vulnerability.



Sourcetree - RCE on Sourcetree for Windows - CVE-2019-11582

深刻度

アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。

これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。


説明

There was a remote code execution vulnerability in Sourcetree for Windows via the URI handlers. A remote, unauthenticated attacker was required to convince a user to interact with a crafted URL in order to exploit the vulnerability. With user interaction, the attacker gained remote code execution on the target system.

All versions of Sourcetree for Windows before version 3.1.3 are affected by this vulnerability. This issue can be tracked here:  SRCTREEWIN-11917 - Getting issue details... STATUS

謝辞

Terry Zhang at Tophant


修正

弊社ではこの問題に対応するために次の対応を行いました。

  • Released Sourcetree for Windows version 3.1.3 that contains a fix for this issue.

必要なアクション

Atlassian recommends that you upgrade to the latest version. For a full description of the latest version of Sourcetree for Windows, see the release notesDownload the latest version of Sourcetree.



Upgrade Sourcetree for Windows to version 3.1.3 or higher.


問題の軽減策

Atlassian recommends upgrading Sourcetree for Windows to version 3.1.3 or higher. Alternatively, for lower versions, please uncheck the Use this version of Sourcetree for URI association option under Tools > Options.


サポート

この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。

参考

セキュリティ バグの修正ポリシー

As per our new policy critical security bug fixes will be back ported in accordance with https://www.atlassian.com/trust/security/bug-fix-policy. We will release new maintenance releases for the versions covered by the policy instead of binary patches.

バイナリ パッチのリリースは終了しています。 

セキュリティの問題の重大度レベルAtlassian security advisories include a severity level and a CVE identifier. This severity level is based on our self-calculated CVSS score for each specific vulnerability. CVSS is an industry-standard vulnerability metric. You can also learn more about CVSS at FIRST.org.
サポート終了ポリシー サポート終了ポリシーは、製品によって異なります。詳細は、アトラシアンの「製品終了ポリシー」を参照してください。 
最終更新日 2019 年 6 月 13 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する

関連コンテンツ

  • 関連コンテンツがありません
Powered by Confluence and Scroll Viewport.