「Git」に複数の脆弱性、修正版が公開 ～Microsoftは「Git for Windows」の更新を推奨

「Git for Windows」v2.17.1.2

　分散型バージョン管理システム「Git」の開発チームは30日（日本時間）、「Git」の旧バージョンに複数の脆弱性が存在することを明らかにした。修正を施した最新版v2.17.1、v2.16.4、v2.15.2、v2.14.4、v2.13.7がリリースされている。

　今回修正された脆弱性は、全部で2件。1つは、悪意のある設定ファイル（.gitmodules）を含むレポジトリをサブモジュールを含めてクローンした場合に、任意のコードが実行されてしまうというもの（CVE-2018-11235）。もう1つは、NTFSのパスをサニティチェックするコードに起因し、メモリのランダムピースを読めてしまうという（CVE-2018-11233）。

　前者の“CVE-2018-11235”は深刻度の比較的高い脆弱性で、Microsoftによると「Git for Windows」でも最新版のv2.17.1.2で対策が施されているという。同社はなるべく早いアップデートを推奨している。

　そのほかにも、「Git for Windows」v2.17.1.2では「Git」v2.17.1の機能が実装されたほか、「Git Credential Manager」がv1.16.1へ、「Git LFS」がv2.4.2へアップデートされた。Windows Vista以降に対応しており、現在“GitHub”のプロジェクトページから無償でダウンロードできる。