最近、Git がセキュリティ速報を発行し、Gitユーザーの資格情報を明らかにする可能性がある脆弱性を発表しました(CVE-2020-5260)。
Gitは資格情報アシスタントを使用して、ユーザーが資格情報を保存および取得できるようにします。ただし、URLにエンコードされた改行が含まれている場合、資格情報ヘルパーのプロトコルフローに予期しない値が挿入される可能性があります。これにより、悪意のあるURLがGitクライアントをだましてホストの資格情報を攻撃者に送信します。この脆弱性は、影響を受けるGitバージョンが悪意のあるURLでgit cloneコマンドを実行するために使用される場合にトリガーされます。
影響を受けるバージョン
- Git 2.17.x <= 2.17.3
- Git 2.18.x <= 2.18.2
- Git 2.19.x <= 2.19.3
- Git 2.20.x <= 2.20.2
- Git 2.21.x <= 2.21.1
- Git 2.22.x <= 2.22.2
- Git 2.23.x <= 2.23.1
- Git 2.24.x <= 2.24.1
- Git 2.25.x <= 2.25.2
- Git 2.26.x <= 2.26.0
影響を受けないバージョン
- Git 2.17.4
- Git 2.18.3
- Git 2.19.4
- Git 2.20.3
- Git 2.21.2
- Git 2.22.3
- Git 2.23.2
- Git 2.24.2
- Git 2.25.3
- Git 2.26.1
解決策:
ユーザーは、影響を受けないバージョンにできるだけ早くアップグレードしてください。