Atlassian corrige deux vulnérabilités critiques sur SourceTree

L'équipe de développement de SourceTree a découvert deux vulnérabilités critiques sur ce logiciel. Un attaquant pourrait l'exploiter pour exécuter du code à distance. L'attaque est peu complexe à mettre en place et ne requiert ni privilèges ni interaction utilisateur. L'impact estimé sur la confidentialité, l'intégrité et la disponibilité des données est élevé.

SourceTree est un logiciel client pour les logiciels de gestion de versions Git et Mercurial sur les systèmes Windows et MacOS. Il leur apporte une interface graphique, car ceux-ci ne sont conçus initialement pour fonctionner qu'en ligne de commande. Le logiciel est utilisé par de nombreuses équipes de développement. La vulnérabilité affecte toutes les versions antérieures à la 3.0.0 qui ne vient que récemment de sortir de sa version beta.

La mise à jour corrigeant la vulnérabilité n'est disponible qu'avec la nouvelle version 3.0 de SourceTree. L'éditeur n'a pas communiqué sur l'apport d'un correctif sur la branche précédente. 

Détails Techniques : 

CVE- 2018-13396 [CVSS v3 8.8] et CVE-2018-13397 [CVSS v3 8.8] SourceTree a fourni peu de détails sur les vulnérabilités, de plus étant un logiciel propriétaire, il n'est pas possible de consulter les changements réalisés lors des différentes versions. 

L'éditeur précise que les deux failles référencées comme CVE- 2018-13396 et CVE-2018-13397 permettraient à un attaquant effectuant un commit sur un dépôt utilisant le logiciel Mercurial d’exécuter du code sur la machine hébergeant ledit dépôt. Bien que l'analyse CVSS effectuée par SourceTree indique que l'attaque ne nécessite pas de privilèges, l'attaquant doit avoir les permissions permettant d’effectuer un commit sur le dépôt.

Informations
+

Risques

  • Exécution de code à distance

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Il n'existe pas de code disponible publiquement disponible permettant d'exploiter la vulnérabilité.

Composants & versions vulnérables

  • SourceTree sur MacOS de la version 1.0b2 à la version 2.7.5
  • SourceTree sur Windows de la version 0.5.1.0 à la version 2.6.9.0

CVE

  • CVE-2018-13396
  • CVE-2018-13397

Recommandations
+

Mise en place de correctif de sécurité

  • La mise jour 3.0.0 de SourceTree pour MacOS et Windows corrige la vulnérabilité.

Solution de contournement

  • Aucune solution de contournement n'est proposée par l'éditeur.