ニュース
「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開
リモートコード実行などにつながるおそれ
2024年5月15日 14:29
「Git for Windows」で5月15日(日本時間)、セキュリティアップデートが実施された。現在、以下のバージョンが利用可能。
- Git for Windows v2.45.1
- Git for Windows v2.44.1
- MinGit for Windows v2.43.4
- MinGit for Windows v2.39.4
「Git」で発見された5件の脆弱性が修正されたほか、多くの不具合が修正されている。
- CVE-2024-32002(Critical):サブモジュールを持つリポジトリが、クローン操作中に「.git」ディレクトリからフックを実行するように「Git」を細工できる。リモートコード実行につながるおそれ。Windows/Mac/Linuxに影響
- CVE-2024-32004(High):クローン時に任意のコードを実行するローカルリポジトリを作成できてしまう。マルチユーザー環境に影響
- CVE-2024-32465(High):「Git」を含むZIPファイルからクローンを作成できる。安全でないフックを実行する可能性
- CVE-2024-32020(Low):同じディスク上のローカルクローンで、信頼できないユーザーがクローンされたリポジトリのオブジェクトデータベース内のハードリンクされたファイルを変更できる。マルチユーザー環境に影響
- CVE-2024-32021(Low):シンボリックリンクを使ってローカルリポジトリをクローンすると、「objects」ディレクトリ内の任意のファイルにハードリンクされる可能性
「Git for Windows」は、分散型バージョン管理システム「Git」のWindows版。Windows 7 SP1以降に対応しており、現在「git-scm.com」などから無償でダウンロードできる。
ソフトウェア情報
- 「Git for Windows」
- 【著作権者】
- Git Project
- 【対応OS】
- Windows 7以降(編集部にてWindows 11で動作確認)
- 【ソフト種別】
- フリーソフト
- 【バージョン】
- 2.45.1(24/05/15)