The Hacker Newsは1月18日(米国時間)、「Git Users Urged to Update Software to Prevent Remote Code Execution Attacks」において、Gitに存在する緊急(Critical)の脆弱性について伝えた。Gitについて、リモートコード実行(RCE: Remote Code Execution)が実行される可能性のある2つの脆弱性が報告されている。
バージョン管理システムとして有名なGitにリモートコード実行を含む2つの脆弱性があることがわかった。発見された脆弱性は次のとおり。
- CVE-2022-23521 - Security Advisory:gitattributes parsing integer overflow
-
CVE-2022-41903 - Security Advisory:Heap overflow in
git archive
,git log --format
leading to RCE
影響を受けるとされるGitのバージョンは次のとおり。
- 2.30.6
- 2.31.5
- 2.32.4
- 2.33.5
- 2.34.5
- 2.35.5
- 2.36.3
- 2.37.4
- 2.38.2
- 2.39.0
2つの脆弱性に対応したとされるGitのバージョンは次のとおり。
- 2.30.7
- 2.31.6
- 2.32.5
- 2.33.6
- 2.34.6
- 2.35.6
- 2.36.4
- 2.37.5
- 2.38.3
- 2.39.1
この問題はどちらも共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)スコア値が9.8、深刻度が緊急(Critical)に分類されており注意が必要。Gitのユーザーは公開されたセキュリティ情報を確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。