Gitに見つかった5つの新たな脆弱性　GitHubが注意喚起：最新のGitバージョンにアップグレードを推奨

GitHubは最新の「Git」バージョンv2.45.1で修正された5つの脆弱性について注意を促した。

» 2024年06月03日 10時30分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　GitHubは2024年5月14日（米国時間）、最新の「Git」バージョンv2.45.1で修正された5つの脆弱（ぜいじゃく）性について注意を促す記事を公式ブログで公開した。

　5つの脆弱性の影響を受けるプラットフォームはWindows、macOS、Linux、BSDであり、全てのGit利用者に影響をもたらすものだと、GitHubは述べている。

　修正された5つの脆弱性は次の通り。

CVE-2024-32002（影響度は重大、WindowsとmacOSに影響）

　サブモジュールを含むGitリポジトリは、クローン操作中に「.git/」ディレクトリからスクリプトを実行させるようGitを誘導できることがある。このスクリプトが実行されると、任意のリモートコードを実行（RCE：Remote Code Execution）されるリスクがある。

CVE-2024-32004（影響度は高、マルチユーザーマシンに影響）

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

OSSが抱えるリスクトップ10　OWASPが発表
非営利団体のOWASPは、OSSが抱えるリスクトップ10をまとめた文書「Top 10 Open Source Software Risks」を公開した。
Windows環境でコマンドインジェクションを引き起こす脆弱性、複数のプログラミング言語に影響
Flatt Securityは、複数のプログラミング言語に存在する、Windows環境でコマンドインジェクションを引き起こす脆弱性に関する解説を公式ブログの英語版で公開した。
GitHubが脆弱性のあるコードの修正機能β版を「GitHub Advanced Security」利用者に提供開始
GitHubは「GitHub Advanced Security」の利用者を対象に、コードスキャン自動修正機能パブリックβ版の提供を開始した。「JavaScript」「TypeScript」「Java」「Python」に対応しており、脆弱性のないコード案を生成する。