CL LAB

HOME > CL LAB > 2023/2/14 Gitに深刻な脆弱性がみつかりました (CVE-2023-23946, CVE-2023-22490) #GitLab #Git

2023/2/14 Gitに深刻な脆弱性がみつかりました (CVE-2023-23946, CVE-2023-22490) #GitLab #Git

 ★ 18


New call-to-action

 

Gitに、1/25にお知らせした脆弱性に加えて、新たに深刻な脆弱性が見つかりました。 こちらのGitLabの記事に解説が掲載されています。 各方面からもアップデート版がリリースされています。
すみやかにご利用中のGitのアップデートを実施してください。

脆弱性について

  • CVE-2023-23946: This can be used to execute arbitrary commands in GitLab installations within GitLab's Gitaly environment.
    特別に細工された入力を git apply で適用し、作業ツリー外のパスを上書きすることが可能です。これを利用すると、GitLab の Gitaly 環境下で任意のコマンドを実行することができます。
  • CVE-2023-22490: This can include arbitrary files based on known paths on the victim's filesystem within the malicious repository's working copy, allowing for data exfiltration.
    特別に細工されたリポジトリを使うと、ファイルシステム上の既知のパスにある任意のファイルへのシンボリックリンクを、悪意のあるリポジトリのワーキングツリー内に含めることができ、データの流出が可能になります。

Gitの対応状況

各ベンダーごとの対応状況

New call-to-action

CL LAB Mail Magazine

CL LABの情報を逃さずチェックしよう!

メールアドレスを登録すると記事が投稿されるとメールで通知します。

メールアドレス: 登録

※登録後メールに記載しているリンクをクリックして認証してください。

Related post

Neo4j[ホワイトペーパー]CCPA