SCM ツールの脆弱性

がっつり見落としてました。

• Compromise On Checkout - Vulnerabilities in SCM Tools · The Recurity Lablog
• [ANNOUNCE] Git v2.14.1, v2.13.5, and others
• GitLab 9.4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13, and 8.17.8 Critical Security Release | GitLab
• Mercurial 4.3 / 4.3.1 (2017-08-10)
• Arbitrary code execution on clients through malicious svn+ssh URLs in svn:externals and svn:sync-from-url
• 「Git」「Mercurial」「Subversion」などにコマンドインジェクションの脆弱性 - 窓の杜

脆弱性の内容

同社のブログ記事によると、「Git LFS」の旧バージョンにはURLの解釈処理に問題があり、たとえば“ssh://-oProxyCommand=some-command”というURLの場合、ホスト名を“-o ProxyCommand=some-command”と解釈してしまうため、“some-command”が実行されてしまう。同様の問題は、「Git」「Mercurial」「Subversion」にも存在する。

影響度（CVSS）

• CVE-2017-9800 - Red Hat Customer Portal
• CVE-2017-1000116 - Red Hat Customer Portal
• CVE-2017-1000117 - Red Hat Customer Portal

CVSSv3 基本評価値 6.3 (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)

基本評価基準	評価値
攻撃元区分（AV）	ネットワーク（N）
攻撃条件の複雑さ（AC）	低（L）
必要な特権レベル（PR）	不要（N）
ユーザ関与レベル（UI）	要（R）
スコープ（S）	変更なし（U）
情報漏えいの可能性（機密性への影響, C）	低（L）
情報改ざんの可能性（完全性への影響, I）	低（L）
業務停止の可能性（可用性への影響, A）	低（L）

CVSS については解説ページを参照のこと。

影響を受ける製品

• Git v2.7.6, v2.8.6, v2.9.5, v2.10.4, v2.11.3, v2.12.4, and v2.13.5
• Mercurial 4.3 以前
• Subversion
  • 1.0.0 through 1.8.18
  • 1.9.0 through 1.9.6
  • 1.10.0-alpha3
• GitLab （CVE-2017-12426 を含む）
  • 7.9.0 through 8.17.7
  • 9.0.0 through 9.0.12
  • 9.1.0 through 9.1.9
  • 9.2.0 through 9.2.9
  • 9.3.0 through 9.3.9
  • 9.4.0 through 9.4.3

対策・回避策

改修されたバージョンが公開されている。 更新作業は計画的に。

• Git v2.14.1
• Mercurial 4.3.1
• Subversion 1.8.19 and 1.9.7
• GitLab 8.17.8, 9.0.13, 9.1.10, 9.2.10, 9.3.10, and 9.4.4

ブックマーク

• CVE-2017-1000117 対策のメモ - Qiita