知って得するセキュリティのはなし その257
バージョン管理システム「Git」に重大な脆弱性、2.45.1へのアップデートを…不審なレポジトリにも注意
1.このニュースをざっくり言うと
- 5月15日(日本時間)、バージョン管理システム「Git」の開発元より、Gitに5件の脆弱性が確認されたと発表されました。
- 最も危険度の高い脆弱性(CVE-2024-32002)はWindows・Macでも影響し、Gitレポジトリのクローン時に不正なコマンドが実行される等の恐れがあるとしています。
- 各脆弱性を修正したセキュリティアップデート2.45.1等がリリースされており、現時点でWindows版インストーラーが用意されています。
- Git開発元では、セキュリティアップデートの適用はもちろん、信頼できないソースレポジトリのクローンは行わないよう呼び掛けています。
2.執筆者からの所感等
- CVE-2024-32002は、別のレポジトリをあるレポジトリの一部として参照する「サブモジュール」機能に問題があるもので、サブモジュール側が細工を行うことにより、攻撃が可能になるとされています。
- Git関連のソフトウェアでは、1月に「GitLab」でも危険度が高いとされる脆弱性が発覚・修正されています(AUS便り 2024/01/31号参照)。
- ソースコード管理・共有サイト「Github」において、既存のリポジトリを「フォーク」した上でマルウェア等悪意のあるコードを含めたものを公開しているケースも報告されており、開発時のソースコードにマルウェアが含まれてしまい、いわゆる「サプライチェーン攻撃」を仕掛けられることがないよう、使用するレポジトリを慎重に選定する等の行動が必要です。