読者です 読者をやめる 読者になる 読者になる

git clientの脆弱性

git mac

2014/12/19に脆弱性を修正したバージョンがリリースされた

手元(Mac)で試したところbrewで修正版にアップグレードできた

$ brew update
$ brew upgrade git
$ git --version
git version 2.2.1

.git/configを書き換えることでクライアント側で任意のコマンドを実行できてしまうという脆弱性らしい。詳しくは↓
Gmane -- ANNOUNCE Git v2.2.1 and updates to older maintenance tracks

文字コードの問題で '.g\u200cit/config' が '.git/config' と扱われたり、case insensitiveファイルシステム上のgit clientから '.GIT/config' というコンテンツを含むレポジトリをcloneすると '.git/config' として扱われるという問題
今回の修正で '.GIT' というpathは使えなくなったようだ。
なお、linuxのgit clientにはこの問題はないようだがupdateが推奨されている

また、githubではレポジトリを検査してそのような脆弱性をつく悪巧みを行っているレポジトリは存在しなかったと公表している。githubからcloneしてくる分にはひとまず安心か
Vulnerability announced: update your Git clients · GitHub