Gitに悪意のあるリポジトリを操作すると任意のコードが実行される可能性がある脆弱性CVE 2018-11235が確認される。

スポンサーリンク

 Gitに悪意のあるリポジトリを操作すると任意のコードが実行される可能性があるとして、Microsoftがアップデートを呼びかけています。詳細は以下から。


 元GitHubのエンジニアで現在はMicrosoftのVisual Studio Teamのマネージャーを務めるEdward Thomsonさんによると、本日(現地時間2018年05月29日)、バージョン管理システムGitに悪意のあるリポジトリを操作すると任意のコードが実行される脆弱性CVE 2018-11235が発見されたとして、ユーザーに対しGitをアップデートするように呼びかけています。

The Git community has disclosed an industry-wide security vulnerability in Git that can lead to arbitrary code execution when a user operates in a malicious repository. This vulnerability has been assigned CVE 2018-11235 by Mitre, the organization that assigns unique numbers to track security vulnerabilities in software.

Announcing the May 2018 Git Security Vulnerability – Microsoft DevOps Blog

 この脆弱性は.gitmoduleを持つリポジトリで”git clone –recursive”を実行した際に任意のコードが実行されるというもので、本日リリースされたGit v2.17.1およびv2.13.7, v2.14.4, v2.15.2, v2.16.4、Git for Windows 2.17.1 (2)でメモリに関する脆弱性CVE-2018-11233を含めて修正されたそうですが、

macOSのGit(Apple)は最新バージョンでもv2.15.1となっており、例のごとく対応も遅いため、macOSの場合はHomebrewを利用して最新のGit v2.17.1を利用するように推奨されています。

macOSでの対処法

  1. Homebrewをインストール。
  2. /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
  3. brewコマンドでgitをインストール。
  4. brew install git
  5. 環境変数を設定。
  6. echo 'export PATH="/usr/local/bin:$PATH"' >> ~/.bashrc
  7. 全てのターミナルのセッションを閉じて、再度ターミナルを起動。