Gitの複数の脆弱性 ( CVE-2018-11235, CVE-2018-11233 )




05/30に、gitに関して複数の脆弱性情報 ( CVE-2018-11235, CVE-2018-11233 )と更新バージョンが出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

05/30に、gitに関して複数の脆弱性情報 ( CVE-2018-11235, CVE-2018-11233 )と更新バージョンが出ています。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


Priority

Important(CVE-2018-11235) / Moderate(CVE-2018-11233)

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-11235

    • gitサーバ上での任意のコマンド実行の可能性

    • 重要度 - Important

    • gitに、'git clone --recurse-submodules'(あるいは、"git clone --recurse-submodules")を実行した際に、任意のコードの実行を許可する脆弱性が見つかりました。

      悪意のあるレポジトリは外部のレポジトリを示す.gitmodulesサブモジュール設定ファイルを含む事が出来ます。gitがそのようなレポジトリをcloneした際に、攻撃者に制御されているcloneされたサブモジュール内のフックに騙されることが有ります。

  • CVE-2018-11233

    • 任意のメモリ読み込みの可能性

    • 重要度 - Moderate

    • バージョン2.13.7、2.14.4、2.15.2、2.16.4、2.17.1より前のGitは、NTFS上でのパスのサニティチェックを行う際に任意のメモリを読み込んでしまう可能性が有ります。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、OSの再起動が発生しますので、peacemakerなどOSSのクラスタ製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

[ANNOUNCE] Git v2.17.1, v2.13.7, v2.14.4, v2.15.2 and v2.16.4

Upgrading git for the May 2018 Security Release

A security vulnerability in Git that can lead to arbitrary code execution

Bug 1583862 - (CVE-2018-11235) CVE-2018-11235 git: arbitrary code execution when recursively cloning a malicious repository

セキュリティ系連載案内

前へ

Linux Kernelの脆弱性(CVE-2018-11506 (Medium), CVE-2018-11508 (Low))

次へ

corosyncの脆弱性 ( CVE-2018-1084 )