Gitのセキュリティ脆弱性を発表 : CVE-2022-24765、CVE-2022-24767

xguru · 2022-04-14T10:47:30+09:00

修正版の Git v2.35.2 をリリース GitHub はこの脆弱性の影響を受けない CVE-2022-24765 : Windows およびマルチユーザー環境のデバイスで、攻撃者が作業フォルダーの上位共有フォルダーに .git フォルダーを作成し、設定情報を取得したり特定のコマンドを実行したりできるアップグレードできない場合は、GIT_CEILING_DIRECTORIES 環境変数を指定して回避可能 CVE-2022-24767 : Git for Windows の Uninstaller がユーザーの Temp ディレクトリから実行されることを利用し、C:\Windows\Temp に悪意のある DLL を配置できる

(github.blog)

2 ポイント投稿者 xguru 2022-04-14 | 1件のコメント | WhatsAppで共有

修正版の Git v2.35.2 をリリース
GitHub はこの脆弱性の影響を受けない
CVE-2022-24765 :
- Windows およびマルチユーザー環境のデバイスで、攻撃者が作業フォルダーの上位共有フォルダーに .git フォルダーを作成し、設定情報を取得したり特定のコマンドを実行したりできる
- アップグレードできない場合は、GIT_CEILING_DIRECTORIES 環境変数を指定して回避可能
CVE-2022-24767 :
- Git for Windows の Uninstaller がユーザーの Temp ディレクトリから実行されることを利用し、C:\Windows\Temp に悪意のある DLL を配置できる

1件のコメント

e1q88 2022-04-14

homebrew に上がっているバージョンは v2.35.3 ですね〜参考にして更新するとよさそうです

Gitのセキュリティ脆弱性を発表 : CVE-2022-24765、CVE-2022-24767

関連記事

1件のコメント