Gitに悪意のあるリポジトリを操作すると任意のコードが実行される可能性があるとして、Microsoftがアップデートを呼びかけています。詳細は以下から。
元GitHubのエンジニアで現在はMicrosoftのVisual Studio Teamのマネージャーを務めるEdward Thomsonさんによると、本日(現地時間2018年05月29日)、バージョン管理システムGitに悪意のあるリポジトリを操作すると任意のコードが実行される脆弱性CVE 2018-11235が発見されたとして、ユーザーに対しGitをアップデートするように呼びかけています。
Announcing a security vulnerability in Git; please update your Git clients, and see our blog post about how to mitigate this issue. https://t.co/QXWogWnWRW pic.twitter.com/dEdnWj1cAM
— Visual Studio Team Services (@VSTS) 2018年5月29日
The Git community has disclosed an industry-wide security vulnerability in Git that can lead to arbitrary code execution when a user operates in a malicious repository. This vulnerability has been assigned CVE 2018-11235 by Mitre, the organization that assigns unique numbers to track security vulnerabilities in software.
Announcing the May 2018 Git Security Vulnerability – Microsoft DevOps Blog
この脆弱性は.gitmoduleを持つリポジトリで”git clone –recursive”を実行した際に任意のコードが実行されるというもので、本日リリースされたGit v2.17.1およびv2.13.7, v2.14.4, v2.15.2, v2.16.4、Git for Windows 2.17.1 (2)でメモリに関する脆弱性CVE-2018-11233を含めて修正されたそうですが、
macOSのGit(Apple)は最新バージョンでもv2.15.1となっており、例のごとく対応も遅いため、macOSの場合はHomebrewを利用して最新のGit v2.17.1を利用するように推奨されています。
macOSでの対処法
- Homebrewをインストール。
- brewコマンドでgitをインストール。
- 環境変数を設定。
- 全てのターミナルのセッションを閉じて、再度ターミナルを起動。
/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
brew install git
echo 'export PATH="/usr/local/bin:$PATH"' >> ~/.bashrc
- Upgrading git for the May 2018 Security Release – Edward Thomson
- Announcing the May 2018 Git Security Vulnerability – Microsoft DevOps Blog
コメント