Git v2.30.2 のリリース【セキュリテイ・アップデート】
Git v2.30.2 がリリースされた。
タイトルにもあるとおり,今回は CVE-2021-21300 の修正を含んでいる。
A specially crafted repository that contains symbolic links as well as files using a clean/smudge filter such as Git LFS, may cause just-checked out script to be executed while cloning onto a case-insensitive file system such as NTFS, HFS+ or APFS (i.e. the default file systems on Windows and macOS).
Note that clean/smudge filters have to be configured for that. Git for Windows configures Git LFS by default, and is therefore vulnerable.
流石にク◯ったれな HFS+ は駆逐されていると思うが, NTFS と APFS をファイルシステムとして使っているプラットフォームは要注意である。 Windows や macOS パソコンだけじゃなくて, NTFS で NAS を構成している場合も結構ヤバいんじゃないかな?
Git for Windows に関しては既にアップデートが出ている。
- Release MinGit v2.29.2.windows.4 · git-for-windows/git · GitHub
- Release Git for Windows 2.30.2 · git-for-windows/git · GitHub
他のプラットフォームでも順次アップデートしていくのがいいだろう。 今回の条件に該当するけどすぐにアップデートできない場合は,とりあえず
$ git config --global core.symlinks false
としてシンボリック・リンクを無効にすることで回避できるらしい。
アップデートは計画的に。
CVE-2021-21300
GitHub による評価:
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N- 深刻度: 重要 (Score: 8)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 高 |
| 必要な特権レベル | 不要 |
| ユーザ関与レベル | 要 |
| スコープ | 変更あり |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | なし |