CVE-2018-11235として特定された業界全体のセキュリティ上の欠陥がGitで発見されました. この脆弱性は、ユーザーが悪意のあるリポジトリで操作を実行すると、任意のコードが実行される可能性があります.
CVE-2018-11235公式説明
以前のGitで 2.13.7, 2.14.x前 2.14.4, 2.15.x前 2.15.2, 2.16.x前 2.16.4, および2.17.x以前 2.17.1, リモートでコードが実行される可能性があります. 細工された.gitmodulesファイルを使用, 悪意のあるプロジェクトは、実行中のマシンで任意のスクリプトを実行できます “git clone –recurse-サブモジュール” サブモジュールのため “名前” このファイルから取得されます, その後、$ GIT_DIR/modulesに追加されます, ディレクトリトラバーサルにつながる “../” 名前で. ついに, サブモジュールからのチェックアウト後のフックが実行されます, リモートサーバーからフックが取得されない意図された設計をバイパスする.
Microsoftは最近、Gitが 2.17.1 およびGitforWindows 2.17.1 (2) リリースされたばかりで、必要な修正が含まれています. VisualStudioチームサービス (VSTS) チームはセキュリティの問題を非常に真剣に受け止めています, この脆弱性を修正するために、すべてのユーザーができるだけ早くGitクライアントを更新することをお勧めします, マイクロソフト 言った.
Microsoftは、これらのタイプの悪意のあるリポジトリがVSTSにプッシュされるのをブロックしました. このアクションは、VSTSが悪意を持って作成されたリポジトリを脆弱なシステムに送信するためのベクトルとして悪用されないようにするのに役立ちます。.
GitforWindowsを実行しているユーザーはすぐに ダウンロード 最新バージョン 2.17.1 (2).
加えて, Visual Studio 2017 も現在パッチが適用されており、ホットフィックスがまもなく利用可能になります, マイクロソフトは約束しました.