Gitに深刻な脆弱性がみつかりました #GitLab #Git

Gitに深刻な脆弱性が見つかりました。 こちらのGitLabの記事に解説が掲載されています。 各方面からもアップデート版がリリースされています。
[2023-02-15更新] さらに新たな脆弱性も見つかりました。詳しくはこちらの記事をご参照ください。
すみやかにご利用中のGitのアップデートを実施してください。

脆弱性について

• CVE-2022-23521: This integer overflow can result in arbitrary heap reads and writes, which may result in remote code execution.
  この整数オーバーフローは、任意のヒープの読み込みと書き込みを引き起こす可能性があり、その結果、リモートでコードが実行される可能性があります。
• CVE-2022-41903: This integer overflow can result in arbitrary heap writes, which may result in arbitrary code execution.
  この整数オーバーフローにより、任意のヒープを書き込むことができ、その結果、任意のコードを実行される可能性があります。

Gitの対応状況

• gitattributes parsing integer overflow (CVE-2022-23521)
  2023-01-17 に公開されたバージョン (v2.30.7以降) で修正済みです。
• Heap overflow in `git archive`, `git log --format` leading to RCE (CVE-2022-41903)
  2023-01-17 に公開されたバージョン (v2.30.7以降) で修正済みです。
  アップグレードが困難な場合は、信頼できないリポジトリでは git archive を無効にしてください。git daemonで git archive を公開している場合は、git config --global daemon.uploadArch false を実行してアーカイブを無効にします。そうでない場合は、信頼できないリポジトリで直接 git archive を実行しないでください。

各ベンダーごとの対応状況

• GitLab Critical Security Release: 15.7.5, 15.6.6, and 15.5.9
  • 脆弱性の影響を受けるバージョン: 本リリースより前の全バージョン
• Windows: https://git-scm.com/download/win
  • v2.39.1.windows.1 で対応済みです。
• Ubuntu: USN-5810-1: Git vulnerabilities