分散型バージョン管理システム「Git」に脆弱性、任意のコマンドが実行される恐れ

「Git」v2.2.1のリリースアナウンスページ

　分散型バージョン管理システム「Git」の最新版v2.2.1が、18日に公開された。本バージョンではWindows/Macに影響する脆弱性が1件（CVE-2014-9390）修正された。本脆弱性は旧版にも影響するため、メンテナンス対象となっている旧版に対しても最新版となるv1.8.5.6/v1.9.5/v2.0.5/v2.1.4がリリースされている。

　本脆弱性の内容は、「Git」リポジトリをクローンしたりチェックアウトする際に、“.git/config”ファイルを上書きできてしまう不正な「Git」ツリーが作成できるというもの。最悪の場合、攻撃者によってクライアントPCで任意のコマンドが実行できるようになるとのこと。

　この脆弱性はNTFS/FAT/HFS+といった大文字と小文字を区別しないファイルシステムにのみ影響するため、Linux環境には影響はない。また、クライアントに関する脆弱性であり、サーバーには直接影響はないという。

　Windows向けの「Git」クライアントでは、「Git for Windows」の最新版v1.9.5-preview20141217が現在、本ソフトの公式サイトや窓の杜ライブラリからダウンロード可能。また、“GitHub”専用クライアント「GitHub for Windows」にも「Git」クライアントを最新版にアップデートしたv2.6.5が用意されている。“GitHub”では「GitHub for Windows」を最新版にすることを強く推奨するとともに、安全でないまたは信頼できないサーバーでホストされている「Git」リポジトリにアクセスする際は注意するよう呼びかけている。