「Git」に複数の脆弱性、Windowsユーザーはとくに注意

「Git for Windows」v2.24.1

　分散型バージョン管理システム「Git」の開発チームは12月10日（協定世界時）、「Git」v2.24およびそれ以前のバージョンに複数の脆弱性が存在することを明らかにした。修正を施した最新版v2.24.1、v2.23.1、v2.22.2、v2.21.1、v2.20.2、v2.19.3、v2.18.2、v2.17.3、v2.16.6、v2.15.4、v2.14.6がリリースされている。

　開発チームのアナウンスによると、今回のリリースでは以下の脆弱性が修正された。これらはGitLabとMicrosoft Security Response Centerの研究者によって報告されたという。

• CVE-2019-1348
• CVE-2019-1349
• CVE-2019-1350
• CVE-2019-1351
• CVE-2019-1352
• CVE-2019-1353
• CVE-2019-1354
• CVE-2019-1387

　これらの脆弱性が悪用されると、任意のパスが書き換えられたり、リモートからコードを実行したり、“.git/”ディレクトリのファイルを上書きされたりする恐れがあるとのこと。

　米GitHubによると、Windows環境で「Git」を利用している場合はとくに注意を要するとのこと。“CVE-2019-1350”、“CVE-2019-1351”、“CVE-2019-1352”、“CVE-2019-1353”、“CVE-2019-1354”は原則的にWindows環境固有の問題で、他のプラットフォームは影響を受けない。“CVE-2019-1352”はWindows以外のユーザーに影響を与える可能性があるが、NTFSボリュームをマウントしている場合に限られる。

　同社は「Git」をアップデートするか、もしできない場合は信頼できないリポジトリで“git clone --recurse-submodules”や“git submodule update”、“git fast-import”の利用を避けること、信頼できないリポジトリをNTFSへクローンしないといった軽減策をとるよう呼び掛けている。