ニュース

「Git」に任意コード実行などへつながるおそれのある脆弱性が2件

「Git for Windows」「GitHub Desktop」などの関連ツールにセキュリティアップデート

「Git for Windows」v2.38.1

 分散型バージョン管理システム「Git」の最新版v2.38.1が、10月18日(米国時間)に公開された。以下の2件の脆弱性を修正したセキュリティアップデートとなっている。

  • CVE-2022-39253:「git clone --local」最適化に欠陥があり、特定のシンボリックリンクが正しく扱われない。リポジトリに細工を施すことで、予期せぬ動作を引き起こセル可能性がある
  • CVE-2022-39260:「git shell」に整数オーバーフローの欠陥があり、任意のコードを実行される可能性がある。「git shell」をログインシェルとして公開し、リポジトリの「git-shell-commands」ディレクトリを作成して対話型モードを有効にしている場合にのみ影響をける

 これらの問題は「Git 2.38」およびそれ以前のバージョンに影響するとのことで、「Git 2.38.1」への更新が必要。

 なんらかの理由で「Git 2.38.1」へアップデートできない場合は、「git shell」の実行を避ける、対話モードを無効化する、信頼できないリポジトリを「git clone --recurse-submodules」しないなどの対策が推奨されている。

 なお、「Git」のWindows版である「Git for Windows」はすでに対策版が公開されている。「GitHub Desktop」も間もなくアップデートされるとのこと。「GitHub」はサブモジュールの再帰的クローンを行わなず、「git shell」も実行しないため、脆弱性の影響を受けない。

ソフトウェア情報

「Git for Windows」
【著作権者】
msysgit/git
【対応OS】
Windows 7以降(編集部にてWindows 11で動作確認)
【ソフト種別】
フリーソフト
【バージョン】
2.38.1(22/10/18)