CVE-2024-21697: High Severity Flaw in Sourcetree Enables Remote Code Execution
2024/11/19 SecurityOnline — Atlassian が発行したのは、Mac/ Windows 向けの Sourcetree に存在する、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2024-21697 (CVSS:8.8) に関するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムの制御を、完全に奪う可能性を手にする。世界中の何百万人もの開発者に利用される、無料の Git GUI クライアント Sourcetree は、ユーザー・フレンドリな GUI でバージョン管理を簡素化するものだ。
Mac バージョンの 4.2.8 および、Windows バージョンの 3.4.19 に混入した、この脆弱性 CVE-2024-21697 により、ユーザーに進行なリスクがもたらされる。
Atlassian のアドバイザリには、「このリモートコード実行 (RCE ) の脆弱性により、未認証の攻撃者であっても、任意のコード実行が可能になる。この種の悪意のコード実行は、ユーザーにより操作を必要とするものだが、それが達成されると、機密性/整合性/可用性が大きく損なわれる」と記されている。
つまり、この脆弱性を悪用する攻撃者は、マルウェアのインストールや、機密データの窃取、システム操作の妨害などを達成する可能性を得る。その前提として、ソーシャル・エンジニアリング戦術や悪意のリンクなどでユーザーを騙して、なんらかの操作を行わせることが必要となるが、それにより、このエクスプロイトがトリガーされる可能性が生じる。
影響を受けるバージョン:
- Sourcetree for Mac:バージョン 4.2.8 以前
- Sourcetree for Windows:バージョン 3.4.19 以前
緩和策:
すべてのユーザーに対して Atlassian が強く推奨するのは、Sourcetree の最新バージョンへと、速やかにアップグレードすることだ。なお、最新バージョンへの更新を、ただちに実行できない場合には、以下の修正済みバージョンのいずれかへと、アップグレードする必要がある。
- Sourcetree for Mac 4.2:バージョン 4.2.9 以降にアップグレード
- Sourcetree for Windows 3.4:バージョン 3.4.20 以降にアップグレード
Atlassian Sourcetree の脆弱性 CVE-2024-21697 が FIX しました。詳細な情報が提供されていませんが、CVSS 値が 8.8 の RCE ですので、ご利用のチームは、ご注意ください。よろしければ、Atlassian で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.