Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

SCM ツールの脆弱性 - remark

がっつり見落としてました。

脆弱性の内容

同社のブログ記事によると、「Git LFS」の旧バージョンにはURLの解釈処理に問題があり、たとえば“ssh://-oProxyCommand=some-command”というURLの場合、ホスト名を“-o ProxyCommand=some-command”と解釈してしまうため、“some-command”が実行されてしまう。同様の問題は、「Git」「Mercurial」「Subversion」にも存在する。
via 「Git」「Mercurial」「Subversion」などにコマンドインジェクションの脆弱性

影響度(CVSS)

CVSSv3 基本評価値 6.3 (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)

基本評価基準 評価値 攻撃元区分(AV) ネットワーク(N) 攻撃条件の複雑さ(AC) 低(L) 必要な特権レベル(PR) 不要(N) ユーザ関与レベル(UI) 要(R) スコープ(S) 変更なし(U) 情報漏えいの可能性(機密性への影響, C) 低(L) 情報改ざんの可能性(完全性への影響, I) 低(L) 業務停止の可能性(可用性への影響, A) 低(L)

CVSS については解説ページを参照のこと。

影響を受ける製品

  • Git v2.7.6, v2.8.6, v2.9.5, v2.10.4, v2.11.3, v2.12.4, and v2.13.5
  • Mercurial 4.3 以前
  • Subversion
    • 1.0.0 through 1.8.18
    • 1.9.0 through 1.9.6
    • 1.10.0-alpha3
  • GitLab (CVE-2017-12426 を含む)
    • 7.9.0 through 8.17.7
    • 9.0.0 through 9.0.12
    • 9.1.0 through 9.1.9
    • 9.2.0 through 9.2.9
    • 9.3.0 through 9.3.9
    • 9.4.0 through 9.4.3

対策・回避策

改修されたバージョンが公開されている。 更新作業は計画的に。

  • Git v2.14.1
  • Mercurial 4.3.1
  • Subversion 1.8.19 and 1.9.7
  • GitLab 8.17.8, 9.0.13, 9.1.10, 9.2.10, 9.3.10, and 9.4.4

ブックマーク

Don't be the product, buy the product!

Schweinderl