「Git」v2.15以降に任意コード実行の脆弱性 ～v2.30.2へのアップデートを

「Git for Windows」v2.30.2

　「Git for Windows」の最新版v2.30.2が、3月9日に公開された。64bit版を含むWindows Vista以降に対応しており、現在公式サイト“gitforwindows.org”から無償でダウンロード可能。

　「Git for Windows」は、分散型バージョン管理システム「Git」のクライアントをWindows向けに移植したもの。Windows環境で「Git」を扱うためのCUI/GUIツールがひとまとめになっている。本バージョンでは、各種コンポーネントのアップデートが行われた。

• 「Git」v2.30.2
• 「PCRE2」v10.36
• 「tig」v2.5.2
• 「OpenSSL」v1.1.1j

　なかでも「Git」のアップデートには注意が必要。「Git LFS」が“git clone”を実行する際使われる遅延チェックアウトの仕組みに脆弱性があり、細工が施されたリポジトリから任意のコードを実行できてしまう問題（CVE-2021-21300）が修正されている。

　この脆弱性は「Git」v2.15以降に影響し、最新版へ更新することで解決できる。何らかの理由でアップデートが難しい場合は、以下の緩和策が推奨されている。

• “git config --global core.symlinks false”を実行して「Git」のシンボリックリンク対応を無効にする
• プロセスフィルタのサポートを無効にする
• 信頼されていないリポジトリのクローンを避ける