Gitに深刻な脆弱性がみつかりました #GitLab #Git
★ 19
Gitに深刻な脆弱性が見つかりました。 こちらのGitLabの記事に解説が掲載されています。 各方面からもアップデート版がリリースされています。
すみやかにご利用中のGitのアップデートを実施してください。
脆弱性について
- CVE-2022-23521: This integer overflow can result in arbitrary heap reads and writes, which may result in remote code execution.
この整数オーバーフローは、任意のヒープの読み込みと書き込みを引き起こす可能性があり、その結果、リモートでコードが実行される可能性があります。 - CVE-2022-41903: This integer overflow can result in arbitrary heap writes, which may result in arbitrary code execution.
この整数オーバーフローにより、任意のヒープを書き込むことができ、その結果、任意のコードを実行される可能性があります。
Gitの対応状況
- gitattributes parsing integer overflow (CVE-2022-23521)
2023-01-17 に公開されたバージョン (v2.30.7以降) で修正済みです。 - Heap overflow in `git archive`, `git log --format` leading to RCE (CVE-2022-41903)
2023-01-17 に公開されたバージョン (v2.30.7以降) で修正済みです。
アップグレードが困難な場合は、信頼できないリポジトリでは git archive を無効にしてください。git daemonで git archive を公開している場合は、git config --global daemon.uploadArch false を実行してアーカイブを無効にします。そうでない場合は、信頼できないリポジトリで直接 git archive を実行しないでください。
各ベンダーごとの対応状況
- GitLab Critical Security Release: 15.7.5, 15.6.6, and 15.5.9
- Windows: https://git-scm.com/download/win
- v2.39.1.windows.1 で対応済みです。
- Ubuntu: USN-5810-1: Git vulnerabilities
CL LAB Mail Magazine
CL LABの情報を逃さずチェックしよう!
メールアドレスを登録すると記事が投稿されるとメールで通知します。
メールアドレス: 登録
※登録後メールに記載しているリンクをクリックして認証してください。Related post
- GitLab社のGitLab Supportの利用にお問い合わせ元の事前登録が必要になります #GitLab
- CVE-2022-0185:Kubernetesのコンテナエスケープを可能にするLinux Kernelの脆弱性 #aqua #セキュリティ #k8s #linux #kernel #脆弱性 #CVE20220185
- ワークフローを改善できるGitのヒント15選 #GitLab #Git
- Aquaの新しいeBPF Lightning Enforcerでゼロデイ攻撃対策 #aqua #セキュリティ #ランタイム保護 #eBPF
