「Git」に深刻度「Critical」の脆弱性 ～「Git for Windows 2.45.1」などが公開

「Git for Windows」v2.45.1

　「Git for Windows」で5月15日（日本時間）、セキュリティアップデートが実施された。現在、以下のバージョンが利用可能。

• Git for Windows v2.45.1
• Git for Windows v2.44.1
• MinGit for Windows v2.43.4
• MinGit for Windows v2.39.4

　「Git」で発見された5件の脆弱性が修正されたほか、多くの不具合が修正されている。

• CVE-2024-32002（Critical）：サブモジュールを持つリポジトリが、クローン操作中に「.git」ディレクトリからフックを実行するように「Git」を細工できる。リモートコード実行につながるおそれ。Windows/Mac/Linuxに影響
• CVE-2024-32004（High）：クローン時に任意のコードを実行するローカルリポジトリを作成できてしまう。マルチユーザー環境に影響
• CVE-2024-32465（High）：「Git」を含むZIPファイルからクローンを作成できる。安全でないフックを実行する可能性
• CVE-2024-32020（Low）：同じディスク上のローカルクローンで、信頼できないユーザーがクローンされたリポジトリのオブジェクトデータベース内のハードリンクされたファイルを変更できる。マルチユーザー環境に影響
• CVE-2024-32021（Low）：シンボリックリンクを使ってローカルリポジトリをクローンすると、「objects」ディレクトリ内の任意のファイルにハードリンクされる可能性

　「Git for Windows」は、分散型バージョン管理システム「Git」のWindows版。Windows 7 SP1以降に対応しており、現在「git-scm.com」などから無償でダウンロードできる。