「Git」に脆弱性 ～対処した「Git for Windows 2.40.1」が公開

「Git for Windows」v2.40.1

「Git for Windows」が4月26日（日本時間）、v2.40.1へとアップデートされた。5件の脆弱性に対処したセキュリティアップデートとなっている。

　このうち2件は、「Git」に由来するもの。v2.40.0およびそれ以前のバージョンに影響する。

• CVE-2023-25652：「git apply --reject」コマンドに欠陥があり、任意の場所のコンテンツが書き換え可能となる。「Git 2.39.1」における「git apply」コマンドの脆弱性対策が不完全だった
• CVE-2023-29007：設定ファイルのセクションをリネームまたは削除する処理に欠陥があり、「$GIT_DIR/config」に任意の設定が注入される。任意コード実行につながる可能性

　残りの3件は、Windows版にのみ影響する。

• CVE-2023-25815：悪意のあるユーザーが「git.exe」に不正なメッセージを注入できる
• CVE-2023-29011：SOCKS5プロキシの実装に、上記の脆弱性と同様の処理が含まれている
• CVE-2023-29012：「Git CMD」におけるパス検索の問題

　これらの脆弱性は、「Git」を利用するほかのアプリにも影響する可能性がある。そのため、関連ソフトのアップデートにも注意したい。たとえば、米GitHubは米国時間26日に「GitHub Desktop」の最新版をリリースして、これらの脆弱性に対処する予定だ。