Atlassian、Mac/Win対応のGitクライアント「SourceTree」をアップデートし、clone時に任意のコードが実行出来てしまうGitの脆弱性を修正。

スポンサーリンク

 AtlassianがMac/Win対応のGitクライアント「SourceTree」をアップデートし、clone時に任意のコードが実行出来てしまうGitの脆弱性を修正したと発表しています。詳細は以下から。

SourceTreeのアイコン

 Mac/Windows対応のGitクライアント「SourceTree」を開発&販売しているオーストラリアのソフトウェア会社Atlassianは2017年08月10日、GitのSSH URLハンドリングに発見されたshellコマンドインジェクションを利用し、clone時に任意のコードが実行できてしまう脆弱性[1, 2]を修正したSourceTree v2.6.1 for Mac/v2.1.10 for Windowsを公開したと発表しています。

SourceTree fixed CVE-2017-1000117 git mercurial

SourceTree 2.6.1 – Minor Release [10 August 2017]
Changes

  • In-app surveys emails are so last century, context counts! We’ve integrated Atlassian’s feedback system to periodically get your input about SourceTree directly.
  • Open the new GitHub URL format

Bug Fixes

  • Filter out potentially insecure SSH URLs (CVE-2017-1000117)
  • Recursive submodule actions in Git are now disabled by default, see Preferences
  • Update Mercurial to 3.7.3.1 (CVE-2017-1000116)

リリースノートより

 また、この脆弱性を修正する課程でGit以外のバージョン管理システムSVNやMercurialでも同様の脆弱性が浮上し、以下それぞれバージョンで修正されていますが、

修正済のバージョン

現在のところAppleのGitはXcode Command Line Toolsの最新版でもv2.11.0となっており、次のセキュリティ・アップデートまでしばらくアップデートされないのではないかと予想されているので、Gitを利用される方はHomebrew版などを利用することをお勧めします。

Apple GitのCVE-2017-1000117