Gitプロジェクトは4月14日(米国時間)、「[Announce] Git v2.26.1 and others - Junio C Hamano」において、脆弱性を修正したバージョンの公開を伝えた。この脆弱性を悪用されると、攻撃者によって任意のサイトの認証データを窃取される可能性があり注意が必要。

脆弱性に関する情報は次のサイトなどから得ることができる。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • git 2.17.3およびこれよりも前のバージョン
  • git 2.18.2およびこれよりも前のバージョン
  • git 2.19.3およびこれよりも前のバージョン
  • git 2.20.2およびこれよりも前のバージョン
  • git 2.21.1およびこれよりも前のバージョン
  • git 2.22.2およびこれよりも前のバージョン
  • git 2.23.1およびこれよりも前のバージョン
  • git 2.24.1およびこれよりも前のバージョン
  • git 2.25.2およびこれよりも前のバージョン
  • git 2.26.0およびこれよりも前のバージョン

脆弱性が修正されたバージョンは次のとおり。

  • git 2.17.4
  • git 2.18.3
  • git 2.19.4
  • git 2.20.3
  • git 2.21.2
  • git 2.22.3
  • git 2.23.2
  • git 2.24.2
  • git 2.25.3
  • git 2.26.1
  • CVE - CVE-2020-5260

    CVE - CVE-2020-5260

この脆弱性を受け、gitを含んでいるソフトウェアもアップデートの提供が開始されている。Appleは4月16日(米国時間)、同社の統合開発環境であるXcodeが脆弱性を抱えたgitを含んでいることを踏まえ、問題を修正したXcode 11.4.1を公開した。

gitはGitHubでホスティングされているソースコードとのやり取りを行うために使われることも多い。GitHubはソフトウェア開発者によって重要なサービスであり、広く使われている。今回のgitの脆弱性は多くの開発者が影響を受ける可能性があり注意が必要。