Gitに深刻な脆弱性がみつかりました #GitLab #Git
★ 19
Gitに深刻な脆弱性が見つかりました。 こちらのGitLabの記事に解説が掲載されています。 各方面からもアップデート版がリリースされています。
すみやかにご利用中のGitのアップデートを実施してください。
脆弱性について
- CVE-2022-23521: This integer overflow can result in arbitrary heap reads and writes, which may result in remote code execution.
この整数オーバーフローは、任意のヒープの読み込みと書き込みを引き起こす可能性があり、その結果、リモートでコードが実行される可能性があります。 - CVE-2022-41903: This integer overflow can result in arbitrary heap writes, which may result in arbitrary code execution.
この整数オーバーフローにより、任意のヒープを書き込むことができ、その結果、任意のコードを実行される可能性があります。
Gitの対応状況
- gitattributes parsing integer overflow (CVE-2022-23521)
2023-01-17 に公開されたバージョン (v2.30.7以降) で修正済みです。 - Heap overflow in `git archive`, `git log --format` leading to RCE (CVE-2022-41903)
2023-01-17 に公開されたバージョン (v2.30.7以降) で修正済みです。
アップグレードが困難な場合は、信頼できないリポジトリでは git archive を無効にしてください。git daemonで git archive を公開している場合は、git config --global daemon.uploadArch false を実行してアーカイブを無効にします。そうでない場合は、信頼できないリポジトリで直接 git archive を実行しないでください。
各ベンダーごとの対応状況
CL LAB Mail Magazine
メールアドレス: 登録
※登録後メールに記載しているリンクをクリックして認証してください。