Gitプロジェクトは4月14日(米国時間)、「[Announce] Git v2.26.1 and others - Junio C Hamano」において、脆弱性を修正したバージョンの公開を伝えた。この脆弱性を悪用されると、攻撃者によって任意のサイトの認証データを窃取される可能性があり注意が必要。
脆弱性に関する情報は次のサイトなどから得ることができる。
- malicious URLs may cause Git to present stored credentials to the wrong server · Advisory · git/git · GitHub
- CVE - CVE-2020-5260
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- git 2.17.3およびこれよりも前のバージョン
- git 2.18.2およびこれよりも前のバージョン
- git 2.19.3およびこれよりも前のバージョン
- git 2.20.2およびこれよりも前のバージョン
- git 2.21.1およびこれよりも前のバージョン
- git 2.22.2およびこれよりも前のバージョン
- git 2.23.1およびこれよりも前のバージョン
- git 2.24.1およびこれよりも前のバージョン
- git 2.25.2およびこれよりも前のバージョン
- git 2.26.0およびこれよりも前のバージョン
脆弱性が修正されたバージョンは次のとおり。
- git 2.17.4
- git 2.18.3
- git 2.19.4
- git 2.20.3
- git 2.21.2
- git 2.22.3
- git 2.23.2
- git 2.24.2
- git 2.25.3
- git 2.26.1
-
CVE - CVE-2020-5260
この脆弱性を受け、gitを含んでいるソフトウェアもアップデートの提供が開始されている。Appleは4月16日(米国時間)、同社の統合開発環境であるXcodeが脆弱性を抱えたgitを含んでいることを踏まえ、問題を修正したXcode 11.4.1を公開した。
gitはGitHubでホスティングされているソースコードとのやり取りを行うために使われることも多い。GitHubはソフトウェア開発者によって重要なサービスであり、広く使われている。今回のgitの脆弱性は多くの開発者が影響を受ける可能性があり注意が必要。
