「Git for Windows」にセキュリティアップデート ～資格情報の漏洩などにつながる可能性

「Git for Windows」v2.47.1.2

　分散型バージョン管理システム「Git」のWindows版「Git for Windows」で1月15日（日本時間）、セキュリティアップデートがリリースされた。現在、以下のバージョンが利用できる。

• Git for Windows 2.47.1(2)
• MinGit for Windows 2.46.2(2)
• MinGit for Windows 2.45.2(2)

　本家の「Git」はv2.48がリリースされているが、「Git for Windows」は執筆時現在、まだリリース候補（RC）のようだ。安定版を利用したい場合は、もう少し待つとよいだろう。

　今回のアップデートで修正された脆弱性は、以下の5件。ただし、「CVE-2024-53263」は「MinGit for Windows」に影響しない。

• CVE-2024-50338：.NET標準ライブラリで標準入力ストリームを行ごとに読み取る「Git Credential Manager」はLF、CRLF、およびCRを改行とみなすが、「Git」の資格情報プロトコルはCRを改行とみなさない。そのため、この不一致を悪用することで資格情報が漏洩する可能性がある（High）
• CVE-2024-53263：「CVE-2024-52006」と組み合わせて、信頼されたサイトの認証情報を信頼されていないサイトに流出させるため「Git LFS」を騙せる可能性がある
• CVE-2024-50349：ターミナルでユーザーにパスワードの入力を促す際、「Git」が制御文字を無効化しない（Low）
• CVE-2024-52005：サイドバンドチャンネルが制御文字を安全な文字に置き換えたり、削除しない
• CVE-2024-52006：「CVE-2020-5260」と同様、CRを改行として解釈するクレデンシャルヘルパーに影響する問題（Low）