Git

Git は、攻撃者がヒープベースのバッファ オーバーフローの脆弱性を悪用した後に任意のコードを実行する可能性がある 2 つの重大なセキュリティ脆弱性にパッチを適用しました。

信頼されていない検索パスの脆弱性によって引き起こされる Git GUI ツールに影響を与える 3 つ目の Windows 固有の欠陥により、認証されていない攻撃者が信頼されていないコードの複雑さの低い攻撃を実行できるようになります。

最初の 2 つの脆弱性 (コミット フォーマット メカニズムのCVE -2022-41903と .gitattributes パーサーの CVE-2022-23521) は、水曜日に v2.30.7 に戻る新しいバージョンでパッチが適用されました。

3 つ目は CVE-2022-41953 として追跡されており、まだパッチを待っていますが、ユーザーは Git GUI ソフトウェアを使用してリポジトリを複製しないか、信頼できないソースからの複製を回避することで問題を回避できます。

X41 (Eric Sesterhenn と Markus Vervier) と GitLab (Joern Schneeweisz) のセキュリティ専門家は、 OSTIFが後援するGit のセキュリティ ソース コード監査の一環として、これらの脆弱性を発見しました。

「発見された最も重大な問題は、攻撃者がクローンまたはプル操作中にヒープベースのメモリ破損をトリガーすることを可能にし、コード実行につながる可能性があります。別の重大な問題は、Git forge によって一般的に実行されるアーカイブ操作中にコード実行を可能にします。」 X41 のセキュリティ専門家は次のように述べています。

「さらに、膨大な数の整数関連の問題が特定されました。これらの問題は、サービス拒否の状況、範囲外の読み取り、または大規模な入力での不適切な処理のコーナーケースにつながる可能性があります。」

パッケージ 影響を受けるバージョン パッチが適用されたバージョン
git-for-windows <=2.39.0(2) >=2.39.1
ギット <= v2.30.6、v2.31.5、v2.32.4、v2.33.5、v2.34.5、v2.35.5、v2.36.3、v2.37.4、v2.38.2、v2.39.0 >= v2.30.7、v2.31.6、v2.32.5、v2.33.6、v2.34.6、v2.35.6、v2.36.4、v2.37.5、v2.38.3、v2.39.1

いずれの場合も、これらの脆弱性を悪用しようとする攻撃を防御する最も効果的な方法は、最新の Git リリース (v2.39.1) にアップグレードすることです。

CVE-2022-41903 の重大なリモート コード実行バグに対処するためにすぐに更新できないユーザーは、攻撃者が脆弱な Git 機能を悪用できないように、次の対策を講じることもできます。

  • 信頼されていないリポジトリで「git archive」を無効にするか、信頼されていないリポジトリでコマンドを実行しないようにします
  • 「git デーモン」を介して「git アーカイブ」が公開されている場合は、「git config –global daemon.uploadArch false」コマンドを実行して、信頼されていないリポジトリを操作するときに無効にします。

「問題の影響を受けるバージョンを実行しているすべてのインストール [..]を、できるだけ早く最新バージョンにアップグレードすることを強くお勧めします」と GitLab は警告しています。