Gitに2つの緊急の脆弱性、ただちに確認と更新を

The Hacker Newsは1月18日(米国時間)、「Git Users Urged to Update Software to Prevent Remote Code Execution Attacks」において、Gitに存在する緊急(Critical)の脆弱性について伝えた。Gitについて、リモートコード実行(RCE: Remote Code Execution)が実行される可能性のある2つの脆弱性が報告されている。

バージョン管理システムとして有名なGitにリモートコード実行を含む2つの脆弱性があることがわかった。発見された脆弱性は次のとおり。

CVE-2022-23521 - Security Advisory：gitattributes parsing integer overflow

CVE-2022-41903 - Security Advisory：Heap overflow in git archive, git log --format leading to RCE

影響を受けるとされるGitのバージョンは次のとおり。

2.30.6
2.31.5
2.32.4
2.33.5
2.34.5
2.35.5
2.36.3
2.37.4
2.38.2
2.39.0

2つの脆弱性に対応したとされるGitのバージョンは次のとおり。

2.30.7
2.31.6
2.32.5
2.33.6
2.34.6
2.35.6
2.36.4
2.37.5
2.38.3
2.39.1

この問題はどちらも共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)スコア値が9.8、深刻度が緊急(Critical)に分類されており注意が必要。Gitのユーザーは公開されたセキュリティ情報を確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。