Secure Your Repos: go-git Patches Critical Vulnerability – CVE-2025-21613 (CVSS 9.8)
2025/01/07 SecurityOnline — Git インタラクションに用いられる、Go ライブラリ go-git がリリースしたのは、2つの深刻な脆弱性を修正したバージョン 5.13.1 である。これらの脆弱性が悪用されると、不正アクセスや DoS にいたる可能性がある。開発者に対して強く推奨されるのは、依存関係を直ちに更新することだ。
CVE-2025-21613 (CVSS:9.8):引数インジェクションに起因する不正アクセスの脆弱性
この脆弱性が大きな影響を及ぼすのは、git バイナリへの shelling out に依存する、ファイル転送プロトコルのユーザーである。この脆弱性の悪用に成功した攻撃者は、git-upload-pack フラグに任意の引数を注入し、URL フィールドの操作を達成し、ターゲット・リポジトリへの不正アクセスの可能性を手にする。
CVE-2025-21614 (CVSS:7.5) :サービス拒否 (DoS) の脆弱性
この脆弱性の悪用に成功した攻撃者は、Git サーバから悪意のレスポンス送信し、go-git クライアントのリソースを枯渇させることで、サービス拒否攻撃を引き起こす可能性を得る。この脆弱性が浮き彫りにするのは、信頼できる Git サーバとのインタラクションの重要性である。
直ちにアップデートを!
すでに go-git チームは、バージョン 5.13.1 をリリースし、これらの脆弱性に対処している。ユーザーに推奨されるのは、この最新バージョンへと、速やかにアップグレードすることだ。
レガシー・システム向けの回避策
アップグレードが難しいユーザーに推奨されるのは、以下の回避策である:
- CVE-2025-21613 の場合:URLフィールドに渡される値に対して、厳格な検証ルールを適用することで、悪意の引数インジェクションを防止する。
- CVE-2025-21614 の場合:go-git の使用を、信頼できる Git サーバに限定することで、DoS 攻撃のリスクを軽減する。
go-git の脆弱性が FIX しました。CVSS 値が高いので、ご利用のチームは、ご注意ください。このブログでは初登場の go-git なので、GitHub を調べてみたところ、「純粋な Go で書かれた、拡張性の高い git 実装ライブラリである。慣用的な Go API を介して、低レベル (plumbing) または高レベル (porcelain) で git リポジトリを操作するために使用できる。また、Storer インターフェイルにより、メモリ内ファイル・システムやカスタム実装などの、何種類かのストレージもサポートしている。2015 年から積極的に開発されており、Keybase/Gitea/Pulumi などの、多数のライブラリやツールで広く使用されている」と紹介されていました。よろしければ、Git で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.