「Git」に3件の脆弱性 ～修正版のv2.39.1が公開

「Git for Windows」v2.39.1

　分散型バージョン管理システム「Git」の最新版v2.39.1が、1月18日（米国時間）に公開された。「Git」のWindows版である「Git for Windows」もv2.39.1にアップデートされており、以下の3件の脆弱性が修正されている。

• CVE-2022-23521：.gitattributes の解析に重大な脆弱性があり、クローン作成中に悪意のあるコードを実行される
• CVE-2022-41953：Git GUIのClone機能がリモートコード実行攻撃を受ける可能性がある
• CVE-2022-41903：git archiveの呼び出し中にヒープオーバーフローが発生し、コードが誤って実行される

　「CVE-2022-23521」と「CVE-2022-41903」は「MinGit」（他の製品に組み込むことを前提とした軽量版）にも影響するとのことで、同日付けで対策版のv2.35.6.windows.1がリリースされている。Windows向けの「Git」のGUIアプリを利用している場合は、製品のアップデートに注意したい。

　そのほかにも、「Git for Windows」ではバージョンアップにより「Bitbucket」をクローンできなくなっていたリグレッション（機能後退）が解決されているとのこと。