Gitに深刻な脆弱性、緊急メンテナンスリリースが公開される

Gitの深刻な脆弱性「CVE-2014-9390」が18日に公表された(Gitのアナウンス、Git Blameの記事、GitHubの記事、窓の杜の記事、本家/.)。

この脆弱性は大文字と小文字を区別しないローカルファイルシステム上でGitまたは互換クライアントを使用している場合に影響する。攻撃者は「.Git」のような名前のディレクトリ(「.git」を除くすべての大文字小文字の組み合わせが利用可能)を作成してファイルを格納することで、影響を受けるシステムのローカルリポジトリで「.git」ディレクトリ内のファイルを上書きすることや、任意のコマンドを実行することができるという。また、Mac OS XのHFS+ではUnicodeの特定範囲を無視するため、「.g\u200cit」のような名前のディレクトリを使用して攻撃を行うことも可能だ。影響を受けるのは主にWindows版とMac OS X版のクライアントで、大文字と小文字を区別するファイルシステムを使用している限りLinux版のクライアントは影響を受けない。

すでにGitは緊急メンテナンスリリースが公開されており、GitHub for WindowsやGitHub for Mac、Git for Windows、Git OS X installer、JGit、EGit、libgit2なども最新版で修正済みだ。また、MicrosoftがVisual StudioおよびTFS 2013の修正パッチを公開しているほか、AppleもXcode 6.2 beta 3を公開している。影響を受けるシステムのユーザーはもちろんだが、影響を受けないシステムであってもGitサーバーをホストしている場合には更新が強く推奨されている。　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | デベロッパー

　関連ストーリー：
X11リリース当初から存在する脆弱性など、13件のCVEをX.Orgが公表 2014年12月13日
SSL 3.0の脆弱性「POODLE」はTLSにも影響する 2014年12月12日
ISC BIND 9に脆弱性、外部からのDoSによって異常終了する可能性 2014年12月11日
GNU Emacs、プロジェクトのソースコード管理ツールをBazaarからGitへ移行させる 2014年11月15日
wgetにシンボリックリンクの扱いに関する脆弱性 2014年10月31日
stringsコマンドに脆弱性 2014年10月31日
SSL 3.0に深刻な脆弱性が見つかる 2014年10月15日
Bugzillaに未解決の脆弱性が発見される 2014年10月09日
GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に 2014年09月25日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
GitHub、公開リポジトリ作成時にライセンス選択を推奨するようになる 2013年07月18日
Subversion 1.8リリース、まだまだSVNは死なない 2013年06月21日
GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明 2013年01月26日
GitHubに脆弱性、第三者が権限のないリポジトリへのアクセス権を取得可能 2012年03月05日