「Git」に任意コード実行などへつながるおそれのある脆弱性が2件

「Git for Windows」v2.38.1

　分散型バージョン管理システム「Git」の最新版v2.38.1が、10月18日（米国時間）に公開された。以下の2件の脆弱性を修正したセキュリティアップデートとなっている。

• CVE-2022-39253：「git clone --local」最適化に欠陥があり、特定のシンボリックリンクが正しく扱われない。リポジトリに細工を施すことで、予期せぬ動作を引き起こセル可能性がある
• CVE-2022-39260：「git shell」に整数オーバーフローの欠陥があり、任意のコードを実行される可能性がある。「git shell」をログインシェルとして公開し、リポジトリの「git-shell-commands」ディレクトリを作成して対話型モードを有効にしている場合にのみ影響をける

　これらの問題は「Git 2.38」およびそれ以前のバージョンに影響するとのことで、「Git 2.38.1」への更新が必要。

　なんらかの理由で「Git 2.38.1」へアップデートできない場合は、「git shell」の実行を避ける、対話モードを無効化する、信頼できないリポジトリを「git clone --recurse-submodules」しないなどの対策が推奨されている。

　なお、「Git」のWindows版である「Git for Windows」はすでに対策版が公開されている。「GitHub Desktop」も間もなくアップデートされるとのこと。「GitHub」はサブモジュールの再帰的クローンを行わなず、「git shell」も実行しないため、脆弱性の影響を受けない。