最近話題になったGitの脆弱性についてのメモ。

※本文にも書いたしリンク先記事にも明記されてるけど、Gitだけが問題じゃないよ！CVS、は最近見ないと思うけど、SVNとかも影響受けてるからね！！

Gitの脆弱性 ( CVE-2017-1000117 )

SIOSセキュリティブログ

oss.sios.com

脆弱性の概要：

SSHのURLハンドリングにshellコマンドインジェクションの脆弱性

脆弱性の詳細：

Gitでの"ssh"URLハンドリングにshellコマンドインジェクションの欠陥が見つかりました。これを利用して、悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります。

キーワード：

• SSH
• URLハンドリング
• shellコマンドインジェクション
• Git, SVN, CVS

注意事項

GitがホットだからGitと並んで情報が拡散されまくってるけど、別にGitだけに限った話ではない模様。

CVE-2017-1000117 に記載されている通り、SVN や CVS でも同様の脆弱性があるみたいなので注意。

Gitの修正版リリース

参考情報：TinkIT

修正バージョン：

Git 2.14.1

Gitのダウンロード

Git - Downloads

後日追記：　Qiitaの関連記事

CVE-2017-1000117 対策のメモ - Qiita

Git に脆弱性があったようなのでバージョンをあげる（Mac版） - Qiita