fbpx

2023/2/14 Gitに深刻な脆弱性がみつかりました (CVE-2023-23946, CVE-2023-22490) #GitLab #Git

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。


New call-to-action

 

Gitに、1/25にお知らせした脆弱性に加えて、新たに深刻な脆弱性が見つかりました。 こちらのGitLabの記事に解説が掲載されています。 各方面からもアップデート版がリリースされています。
すみやかにご利用中のGitのアップデートを実施してください。

脆弱性について

  • CVE-2023-23946: This can be used to execute arbitrary commands in GitLab installations within GitLab's Gitaly environment.
    特別に細工された入力を git apply で適用し、作業ツリー外のパスを上書きすることが可能です。これを利用すると、GitLab の Gitaly 環境下で任意のコマンドを実行することができます。
  • CVE-2023-22490: This can include arbitrary files based on known paths on the victim's filesystem within the malicious repository's working copy, allowing for data exfiltration.
    特別に細工されたリポジトリを使うと、ファイルシステム上の既知のパスにある任意のファイルへのシンボリックリンクを、悪意のあるリポジトリのワーキングツリー内に含めることができ、データの流出が可能になります。

Gitの対応状況

各ベンダーごとの対応状況

New call-to-action
新規CTA