2014/12/19に脆弱性を修正したバージョンがリリースされた
手元(Mac)で試したところbrewで修正版にアップグレードできた
$ brew update $ brew upgrade git $ git --version git version 2.2.1
.git/configを書き換えることでクライアント側で任意のコマンドを実行できてしまうという脆弱性らしい。詳しくは↓
Gmane -- ANNOUNCE Git v2.2.1 and updates to older maintenance tracks
文字コードの問題で '.g\u200cit/config' が '.git/config' と扱われたり、case insensitiveなファイルシステム上のgit clientから '.GIT/config' というコンテンツを含むレポジトリをcloneすると '.git/config' として扱われるという問題
今回の修正で '.GIT' というpathは使えなくなったようだ。
なお、linuxのgit clientにはこの問題はないようだがupdateが推奨されている
また、githubではレポジトリを検査してそのような脆弱性をつく悪巧みを行っているレポジトリは存在しなかったと公表している。githubからcloneしてくる分にはひとまず安心か
Vulnerability announced: update your Git clients · GitHub
