ニュース

「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開

リモートコード実行などにつながるおそれ

「Git for Windows」v2.45.1

 「Git for Windows」で5月15日(日本時間)、セキュリティアップデートが実施された。現在、以下のバージョンが利用可能。

  • Git for Windows v2.45.1
  • Git for Windows v2.44.1
  • MinGit for Windows v2.43.4
  • MinGit for Windows v2.39.4

 「Git」で発見された5件の脆弱性が修正されたほか、多くの不具合が修正されている。

  • CVE-2024-32002(Critical):サブモジュールを持つリポジトリが、クローン操作中に「.git」ディレクトリからフックを実行するように「Git」を細工できる。リモートコード実行につながるおそれ。Windows/Mac/Linuxに影響
  • CVE-2024-32004(High):クローン時に任意のコードを実行するローカルリポジトリを作成できてしまう。マルチユーザー環境に影響
  • CVE-2024-32465(High):「Git」を含むZIPファイルからクローンを作成できる。安全でないフックを実行する可能性
  • CVE-2024-32020(Low):同じディスク上のローカルクローンで、信頼できないユーザーがクローンされたリポジトリのオブジェクトデータベース内のハードリンクされたファイルを変更できる。マルチユーザー環境に影響
  • CVE-2024-32021(Low):シンボリックリンクを使ってローカルリポジトリをクローンすると、「objects」ディレクトリ内の任意のファイルにハードリンクされる可能性

 「Git for Windows」は、分散型バージョン管理システム「Git」のWindows版。Windows 7 SP1以降に対応しており、現在「git-scm.com」などから無償でダウンロードできる。

ソフトウェア情報

「Git for Windows」
【著作権者】
Git Project
【対応OS】
Windows 7以降(編集部にてWindows 11で動作確認)
【ソフト種別】
フリーソフト
【バージョン】
2.45.1(24/05/15)