Atlassian、Mac/Win対応のGitクライアント「SourceTree」をアップデートし、clone時に任意のコードが実行出来てしまうGitの脆弱性を修正。

　AtlassianがMac/Win対応のGitクライアント「SourceTree」をアップデートし、clone時に任意のコードが実行出来てしまうGitの脆弱性を修正したと発表しています。詳細は以下から。

　Mac/Windows対応のGitクライアント「SourceTree」を開発＆販売しているオーストラリアのソフトウェア会社Atlassianは2017年08月10日、GitのSSH URLハンドリングに発見されたshellコマンドインジェクションを利用し、clone時に任意のコードが実行できてしまう脆弱性[1, 2]を修正したSourceTree v2.6.1 for Mac/v2.1.10 for Windowsを公開したと発表しています。

SourceTree 2.6.1 – Minor Release [10 August 2017]
Changes

• In-app surveys emails are so last century, context counts! We’ve integrated Atlassian’s feedback system to periodically get your input about SourceTree directly.
• Open the new GitHub URL format

Bug Fixes

• Filter out potentially insecure SSH URLs (CVE-2017-1000117)
• Recursive submodule actions in Git are now disabled by default, see Preferences
• Update Mercurial to 3.7.3.1 (CVE-2017-1000116)

リリースノートより

　また、この脆弱性を修正する課程でGit以外のバージョン管理システムSVNやMercurialでも同様の脆弱性が浮上し、以下それぞれバージョンで修正されていますが、

修正済のバージョン

• Git: CVE-2017-1000117
• git 2.7.6, git 2.8.6, git 2.9.5, git 2.10.4, git 2.11.3, git 2.12.4, git 2.13.5, git 2.14.1
• Mercurial: CVE-2017-1000115, CVE-2017-1000116
• mercurial 4.3, mercurial 4.2.3
• SVN: CVE-2017-9800
• subversion 1.8.18, subversion 1.9.7

現在のところAppleのGitはXcode Command Line Toolsの最新版でもv2.11.0となっており、次のセキュリティ・アップデートまでしばらくアップデートされないのではないかと予想されているので、Gitを利用される方はHomebrew版などを利用することをお勧めします。

• Gitの脆弱性 ( CVE-2017-1000117 ) – サイオステクノロジー
• SourceTree Security Advisory 2017-08-11 – Atlassian Documentation
• Gitの脆弱性によってリポジトリをクローンすると「うんこもりもり」と表示される – BppLOG