「Git」「Mercurial」「Subversion」などにコマンドインジェクションの脆弱性

Recurity Labs社のブログ

　ドイツのセキュリティベンダーRecurity Labs GmbHは10日（現地時間）、「Git LFS」にコマンドインジェクションの脆弱性が存在することを明らかにした。バージョン管理システム「Git」「Mercurial」「Subversion」にも同様の脆弱性が発見されており、修正版がリリースされている。

　同社のブログ記事によると、「Git LFS」の旧バージョンにはURLの解釈処理に問題があり、たとえば“ssh://-oProxyCommand=some-command”というURLの場合、ホスト名を“-o ProxyCommand=some-command”と解釈してしまうため、“some-command”が実行されてしまう。同様の問題は、「Git」「Mercurial」「Subversion」にも存在する。

• 「GitLab」：CVE-2017-12426
• 「Git」：CVE-2017-1000117
• 「Mercurial」：CVE-2017-1000116
• 「Subversion」：CVE-2017-9800

　“ssh://-oProxyCommand=～”などという不審なURLをユーザーが入力してしまうケースはあまり考えられないが、サブモジュールなどで利用されている場合、それに気付くのは難しいだろう。脆弱性の深刻度は、「Subversion」の場合、“CVSS v3”のベーススコアで“9.9”と評価されている。

　また、Atlassian製のGUIクライアント「SourceTree」をはじめとする関連製品にもアップデートが提供されている。最新版が提供されている場合は、なるべく早い適用を推奨する。