Git Patches Critical RCE Vulnerabilities – CVE-2024-32002 & CVE-2024-32004
2024/05/15 SecurityOnline — ソフトウェア開発の要である “Git” Project に発生した、リモート・コード実行の脆弱性 CVE-2024-32002/CVE-2024-32004 により、不正なデータ操作にさらされる可能性が生じている。すでに、アップデート版が提供されているため、可能な限り早急に対処してほしい。
発見された深刻な脆弱性
1つ目の脆弱性 CVE-2024-32002 (CVSS 9.1 )は、クローン作成中の Git のサブモジュールの扱い方のに起因するものであり、悪用に成功した攻撃者は、リモートから任意のコードを実行する可能性を得る。この欠陥は、大文字/小文字を区別しないファイルシステム上で、シンボリック・リンクをサポートする、Git の再帰的クローンの扱い方に起因する。
サブモジュールを含むリポジトリを、このバグを悪用するよう細工することが可能である。それにより、Git が誤ってサブモジュールのワークツリーではなく、”.git/” ディレクトリにファイルを書き込むようになる。結果として、攻撃者はクローン操作中に実行されるフックの記述が可能となり、ユーザーはコード検査の機会を失うことになる。
2つ目の脆弱性 CVE-2024-32004 (CVSS 8.2) は、特別に細工されたローカル・リポジトリをクローンする際に、リモート・コード実行の可能性を生じる。
3つ目と4つ目の脆弱性 CVE-2024-32020/CVE-2024-32021 は、クローンされたリポジトリにおけるオブジェクト・データベース内のファイルに対して、攻撃者による操作を可能にするものであり、不正アクセスやデータ破損の可能性を生じる。
5つ目の脆弱性 CVE-2024-32465 (CVSS 7.4) は、信頼されていないリポジトリをクローンするための Git の保護を、攻撃者がバイパスするという不具合であり、悪意のフックによりコードが実行される可能性を生じる。
早急な対策が必要
これらの脆弱性に対処するために、Git ユーザーに強く推奨されるのは、最新版 (v2.45.1/v2.44.1/v2.43.4/v2.42.2/v2.41.1/v2.40.2/v2.39.4) へのアップデートである。シンボリック・リンクのサポートを無効化するなどの、いくつかの回避策も存在するが、最も効果的な解決策は、公式パッチを適用することである。
Git に5件の脆弱性です。ご利用の開発者は、ご注意ください。これらの脆弱性について、お隣のキュレーション・チームに聞いてみたところ、リモート・コード実行の脆弱性 CVE-2024-32002/CVE-2024-32004 に関しては、2024年5月の Microsoft Patch Tuesday で、Visual Studio のバグとして修正されているとのことでした。ここにもソフトウェア・サプライチェーンが在るのですね。
ところで、Git と GitHub の違いですが、Git は、開発者がプロジェクトのスナップショットを長期間保存できるローカル VCS ソフトウェアとのことです。 通常、一人作業に最適です。 GitHub は共同作業のために、Git のバージョン管理機能を組み込んだ、Web ベースのプラットフォームとのことです。詳しくは、Qiita の解説を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.