Create
cancel
Showing results for 
Search instead for 
Did you mean: 
Sign up Log in

Sourcetree の 内蔵 Git 脆弱性対策版リリース

Ryoji Sobue April 30, 2020

Sourcetree の内蔵 Git について、脆弱性が存在した場合の対策版のリリースのポリシー(〇〇日以内にリリースする等) がございましたらご提示頂けないでしょうか?

直近ですと、以下の脆弱性が報告されていますが、これらの脆弱性の対応バージョンが近日中にリリースされることを期待しています。
(外部ライブラリを利用しているようなので、なかなか難しい面もあるかと思います)

https://nvd.nist.gov/vuln/detail/CVE-2020-5260

また、Sourcetree のバージョンと内蔵Git のバージョンの関連について、以下の認識で一致していますでしょうか?

・Sourcetree のバージョン に対応する 内蔵Git のバージョンが一意に決まっており、内蔵Git だけバージョンアップすることはできない (Update Embedded をクリックしても、現在入っているバージョンが再度ダウンロードされるだけ)
・なので、例えば上記脆弱性に内蔵Gitで対応しようと思ったら、上記脆弱性対策済の内蔵Gitを使用する Sourcetree へバージョンにアップする必要がある

1 answer

1 accepted

0 votes
Answer accepted
Tomoko Suzuki
Atlassian Team
Atlassian Team members are employees working across the company in a wide variety of roles.
May 8, 2020

コミュニティをご利用いただきありがとうございます。

セキュリティバグ修正ポリシーは以下をご参照ください。

CVE-2020-5260 に関して、修正バージョンの Git を内蔵した Sourcetree が近日公開予定となっております。
以下のブログに詳細の記載がございますのでご参照ください。

なお、 Sourcetree は 内蔵Git ではなく システムGit を指定することが可能です。
恐れ入りますが修正バージョンがリリースされるまでは 2.26.1 以上のシステムGit をご利用ください。

Ryoji Sobue May 10, 2020

ご回答ありがとうございます。

頂いた情報について承知しました。
「近日公開予定」と脆弱性対応のSLAについて、CVSS の重大度レベルが記載されております。記載された「一番重大なレベル」についてSLAが決まり、脆弱性が公開された2020/04/14 から 4週間以内の 2020/05/14 までにリリースされる見込み、という認識でよろしいでしょうか?

https://nvd.nist.gov/vuln/detail/CVE-2020-5260

・CVSS 3.x NIST 7.5 HIGH
・CVSS 3.x:CNA 9.3 CRITICAL ← これが一番重大なので、これが適用される(?)
・CVSS 2.x:NIST 5.0 MEDIUM

「セキュリティバグ修正ポリシー」より抜粋:重大度レベルが重大 のバグ (CVSS v2 スコア 8 以上、CVSS v3 スコア 9 以上) は、報告後 4 週間以内に本番環境内で修正

また、以下についてもご回答頂けましたら幸いです。

また、Sourcetree のバージョンと内蔵Git のバージョンの関連について、以下の認識で一致していますでしょうか?

・Sourcetree のバージョン に対応する 内蔵Git のバージョンが一意に決まっており、内蔵Git だけバージョンアップすることはできない (Update Embedded をクリックしても、現在入っているバージョンが再度ダウンロードされるだけ)
・なので、例えば上記脆弱性に内蔵Gitで対応しようと思ったら、上記脆弱性対策済の内蔵Gitを使用する Sourcetree へバージョンにアップする必要がある
Tomoko Suzuki
Atlassian Team
Atlassian Team members are employees working across the company in a wide variety of roles.
May 12, 2020

CVSS スコアリングは弊社のセキュリティーチームにて決定されます。
CVE-2020-5260 は CVSS v3 score: 9.3 と重大なセキュリティの脆弱性として位置づけられておりますので、 2020/05/14 までにリリースされる見込みとなります。

以下、ご認識の通りとなります。恐れ入りますが修正バージョンがリリースされるまでは Using Embedded Git or System Git in SourceTree を参考に 2.26.1 以上の システムGit をご利用ください。

・Sourcetree のバージョン に対応する 内蔵Git のバージョンが一意に決まっており、内蔵Git だけバージョンアップすることはできない (Update Embedded をクリックしても、現在入っているバージョンが再度ダウンロードされるだけ)
・なので、例えば上記脆弱性に内蔵Gitで対応しようと思ったら、上記脆弱性対策済の内蔵Gitを使用する Sourcetree へバージョンにアップする必要がある

Ryoji Sobue May 12, 2020

ご回答ありがとうございます。

CVSS スコアリングは貴社のセキュリティチームにより決定されるとのことですが、貴社によるCVSS スコアリング判定の結果はどこで開示されますでしょうか?
ご提示頂いた貴社ブログにはその情報は存在しませんでした。

https://bitbucket.org/blog/git-vulnerability-in-multiple-versions-including-2-26?_ga=2.207274650.804736154.1589158505-765655386.1496039391

先のコメントで提示したページは、NIST が管理しているものとなります。これらの情報等から貴社セキュリティチームにより判断がなされ、CVSS  スコアリングが決まるものと認識しました。

https://nvd.nist.gov/vuln/detail/CVE-2020-5260

・CVSS 3.x NIST 7.5 HIGH
・CVSS 3.x:CNA 9.3 CRITICAL ← これが一番重大なので、これが適用される(?)
・CVSS 2.x:NIST 5.0 MEDIUM

Sourcetree バージョンと内蔵Git バージョンの関係性については、認識通りとのことで承知しました。

お手数をおかけしますが、引き続きご確認の程、よろしくお願いいたします。

Tomoko Suzuki
Atlassian Team
Atlassian Team members are employees working across the company in a wide variety of roles.
May 12, 2020

外部への公開は Security Advisory Publishing Policy に準拠して行われ、現時点で CVE-2020-5260 に関する Atlassian 社内での CVSS スコアリングの詳細は公開されておりません。

ポリシーに記載がございますように、重大な脆弱性と判断されたものに関しては修正版のリリースと共に セキュリティーアドバイザリー が公開されます。

恐れ入りますが、公開されている情報以外の社内でのセキュリティーの対応状況はお伝えしかねますのでご了承ください。

Ryoji Sobue May 14, 2020

ご回答ありがとうございました。

ご回答を頂いて「確かにそうだった」と納得いたしました。失礼いたしました。
頂いた情報を関係者と共有させて頂きました。
もし、内部で質問が挙がったら再度質問させて頂きます。

別件ですが、以下の質問に対してもご回答頂けましたら幸いです。

https://community.atlassian.com/t5/Sourcetree-questions/Sourcetree-%E3%81%A8-Bitbucket-Server-DC-%E3%81%AE%E3%83%90%E3%83%BC%E3%82%B8%E3%83%A7%E3%83%B3%E3%83%9E%E3%83%83%E3%83%81%E3%83%B3%E3%82%B0/qaq-p/1365542#M35937

Jun June 2, 2020

質問させていただきます。

CVE-2020-5260 は CVSS v3 score: 9.3 と重大なセキュリティの脆弱性として位置づけられておりますので、 2020/05/14 までにリリースされる見込みとなります。

とのご回答があるのですが、現在リリースされている最新版のSourcetreeである4.0.1での内蔵Gitバージョンは2.23.0です。これは4.0.1のReleaseNoteにも記載されており、この内蔵Gitは脆弱性の影響を受けるものと認識しております。

Sourcetree 4.0.1 - Minor Release [09 January 2020] 

ポリシーに記載がございますように、重大な脆弱性と判断されたものに関しては修正版のリリースと共に セキュリティーアドバイザリー が公開されます。

Security Advisories の更新も現時点ではありません。

現在2020/05/14から2週間ほど経過しておりますが、修正バージョンのGitを内蔵した Sourcetreeの公開予定に変更があったのでしょうか?

そのことについてのアナウンス等はございますでしょうか?

お手数をおかけしますが、ご確認の程よろしくお願いいたします。

Like Ryoji Sobue likes this

Suggest an answer

Log in or Sign up to answer
TAGS
AUG Leaders

Atlassian Community Events