この脆弱性の本質は、大文字と小文字を区別しないファイルシステムのサービスパス.git / configと同等の.Git / configにコミットする機能です。 これにより、クライアントで任意のコマンドの起動を開始できます。 一般に、WindowsおよびMac OS Xのワークステーションは脆弱であり、Linuxシステムは大文字と小文字を区別しないファイルシステムを使用すると影響を受けます。
linux-kernel メーリングリストの発表によると
以前は ".Git / config"でコミットを許可していましたが、大文字と小文字を区別しないファイルシステムでは ".git / config"に書き込むことができますが、これはプログラムの期待される動作ではありません。 これ以降、Gitはパスでの「.Git」の使用を(いずれにしても)禁止します。
Windowsでは、特定のパスを.gitで表示することもできます。たとえば、 git〜1 / configは.git / configへのアクセスを提供します。 .g \ u200cit / configなどのUnicode文字を使用する場合、HFS +ファイルシステムはこのパスへのアクセスも提供できます。 同様のパスは、潜在的に脆弱なシステムでGitによって拒否されます。 Linuxなどの他のシステムでは、同様のシステム動作を意図的に有効にして、クロスプラットフォームおよび全体的なセキュリティ強化を提供することができます。
git fsckの問題を確認できます。
修正はすでにリリースされています:
- GitHub for WindowsおよびGitHub for Mac
- Gitコアチームは 、Gitのサポートされているすべてのバージョン(v1.8.5.6、v1.9.5、v2.0.5、v2.1.4、およびv2.2.1)の更新をリリースしました。
- Git for Windows(別名MSysGit)が1.9.5に更新されました 。
- 人気のlibgit2およびJGitライブラリも更新されました。
興味深いことに、GitHubではこの脆弱性の悪用はできません。 バグに関する情報が新しい悪意のあるコミットを禁止し、その中にCVE-2014-9390が存在するかどうかすべての既存のリポジトリをチェックした直後に、会社の従業員は。