BLOGTIMES
2022/04/14

Git for Windows のアップデートを

  git 
このエントリーをはてなブックマークに追加

Git for Windows のセキュリティホール*1が話題になっていたのでメモ。

言われてみれば git は設定(core.fsmonitor*2 など)で任意のコマンドを実行することができますね。
というわけで、共用の PC を使っている場合に他人に config を書き換えられてしまって、結果的に予期しないコマンドを実行させられてしまうというパターンは確かに危なそうな気がします。

Git for Windowsユーザーは脆弱性に対応する最新版を - GitHub公式ブログ | TECH+

確認された脆弱性はCVE-2022-24765とCVE-2022-24767の2つ。前者は複数のユーザーが利用するPCで共有する作業フォルダーにリポジトリを作成した場合、各種テキストエディターや統合開発環境が参照した際、configで定義したコマンドが実行できる脆弱性。後者のCVE-2022-24767はGit for Windowsのアンインストーラーを管理者アカウントを通じて実行した際、アンインストーラーが利用する一時フォルダー(環境変数TMPやTEMPで指定したフォルダー)に悪意を持つDLLファイルを配備可能なる脆弱性。


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13172
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン