スポンサーリンク

Git脆弱性と対策について

Vulnerability announced: update your Git clients.

上のGitHubにもありますが、NTFS/FAT, HFS+でGitレポジトリを運用する場合が対象となる脆弱性(CVE-2014-9330)が発見されました。従って、Windows, OS XでGit運用・使用する場合には速やかに対策されたバージョンのツールを使用することが望まれます。

対策が行われたGitのバージョンはv1.8.5.6, v1.9.5, v2.0.5, v2.1.4, v2.2.1となります。

WindowsではGit for Windows 1.9.5が公開されていますので、速やかにインストールしましょう。

また、Gitのプログラミングライブラリである、libgit2, JGitとともに対策がされたバージョンが公開されていますので、これらのライブラリを使用しているGitクライアントやIDE拡張もアップデートが必要です。

Visual Studio, TFSに関しては既に対応パッチが公開されています。詳細については下のTFSユニットマネージャーブライアン ハリーのBlogを参照してください。

Git vulnerability with .git\config – Brian Harry’s blog – Site Home – MSDN Blogs

その他ツールに関しては各プロジェクト、製造元のサイト等で確認してください。

追記(9:10)

GituHub Client For Windows, GitHub Client for Macとも対策済の物が公開されています。

GitHub Client for Windows、本体自体は2.6.5で脆弱性対策されましたが、付属してくるポータブル盤のgit.exeが未対策盤(1.9.4)なので、GitHub Client for Windowsのコンソールを使われる方は注意してください。(15:45 追記)

追記(2014/12/22 0:28)
GitHub Client for Windowsは、付属するポータブル盤Gitのバージョンを対策済の1.9.5に差し替えた物が、Ver 2.6.6として公開中です。2.6.5インストール済の方もバージョンアップしましょう。

追記2(11:30)

AtlasianのSource Tree Windows版に関しては、最新の1.6.11かより以前のバージョンを使っている場合には、Git for Windows 1.9.5を使用するように設定する必要があります。詳細は以下を確認してください。

https://confluence.atlassian.com/pages/viewpage.action?pageId=695108075

Source Tree Mac版に関しても同様に対策済の外部のgitの実行ファイルを使用するように設定する必要があります。詳細は以下を確認してください。

https://confluence.atlassian.com/pages/viewpage.action?pageId=695108069

AtlasianのSource Treeに関しては対策済バージョンが登場しました。Windows版がVersion 1.6.12、Mac版がVersion 2.0.4が対策版となります。ご使用中の方は出来る高は約バージョンアップをしましょう。追記(2014/12/22 17:52)

Windows版の入手: http://sourcetreeapp.com/

Atlasianの製品全般については、以下のBlogを参考にしてください。

Atlassian update for Git and Mercurial vulnerability - Work Life by Atlassian
The maintainers of the Git and Mercurial open source projects have identified a vulnerability in the Git and Mercurial c...

また、Mercurial SCMでも同様の脆弱性があるようです。

追記3(11:48)

Mercurial(Hg)でも同様の脆弱性が有り、対策版(3.2.3)がリリースされています。

チェンジログ: http://mercurial.selenic.com/wiki/WhatsNew#Mercurial_3.2.3_.282014-12-18.29

ダウンロード: http://mercurial.selenic.com/wiki/Download

コメント

タイトルとURLをコピーしました