Gitに見つかった5つの新たな脆弱性 GitHubが注意喚起:最新のGitバージョンにアップグレードを推奨
GitHubは最新の「Git」バージョンv2.45.1で修正された5つの脆弱性について注意を促した。
GitHubは2024年5月14日(米国時間)、最新の「Git」バージョンv2.45.1で修正された5つの脆弱(ぜいじゃく)性について注意を促す記事を公式ブログで公開した。
5つの脆弱性の影響を受けるプラットフォームはWindows、macOS、Linux、BSDであり、全てのGit利用者に影響をもたらすものだと、GitHubは述べている。
修正された5つの脆弱性は次の通り。
CVE-2024-32002(影響度は重大、WindowsとmacOSに影響)
サブモジュールを含むGitリポジトリは、クローン操作中に「.git/」ディレクトリからスクリプトを実行させるようGitを誘導できることがある。このスクリプトが実行されると、任意のリモートコードを実行(RCE:Remote Code Execution)されるリスクがある。
CVE-2024-32004(影響度は高、マルチユーザーマシンに影響)
ローカルリポジトリを細工して、クローン操作中に任意のコードを実行させることができる。クローンを実行するユーザーの権限で悪意のあるコードが実行されるリスクがある。
CVE-2024-32465(影響度は高、全てのプラットフォームに影響)
Gitリポジトリを含む「.zip」ファイルからクローンする際、通常の保護を回避して安全でないスクリプトを実行される可能性がある。
CVE-2024-32020(影響度は低、マルチユーザーマシンに影響)
同じディスク上でローカルリポジトリをクローンする際、クローンされたリポジトリの一部ファイルが他のユーザーによって変更される可能性がある。予期しないコード変更が発生するリスクがある。
CVE-2024-32021(影響度は低、マルチユーザーマシンに影響)
シンボリックリンクを含むリポジトリをローカルでクローンすると、「objects/」ディレクトリ内に任意のファイルがハードリンクされる可能性がある。ファイルが意図しない場所に作成され、予期しない動作につながるリスクがある。
ユーザーに求められる対策
GitHubは「これらの脆弱性の影響を回避するためには、最新バージョンにGitをアップグレードすべきだ。すぐにアップデートができない場合は、クローンするリポジトリが信頼できるかどうかを確認してほしい」と述べている。
なお、Gitのアップデート後に「Git LFS(Git Large File Storage)」を有効にしたリポジトリをクローンするとエラーが発生する場合は、下記のコマンドを実行することで解決するとしている。
git lfs pull
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
OSSが抱えるリスクトップ10 OWASPが発表
非営利団体のOWASPは、OSSが抱えるリスクトップ10をまとめた文書「Top 10 Open Source Software Risks」を公開した。
Windows環境でコマンドインジェクションを引き起こす脆弱性、複数のプログラミング言語に影響
Flatt Securityは、複数のプログラミング言語に存在する、Windows環境でコマンドインジェクションを引き起こす脆弱性に関する解説を公式ブログの英語版で公開した。
GitHubが脆弱性のあるコードの修正機能β版を「GitHub Advanced Security」利用者に提供開始
GitHubは「GitHub Advanced Security」の利用者を対象に、コードスキャン自動修正機能パブリックβ版の提供を開始した。「JavaScript」「TypeScript」「Java」「Python」に対応しており、脆弱性のないコード案を生成する。