分散型のバージョン管理システムGitに、クライアント上で悪意あるコードが実行可能となる脆弱性が発見され、これを修正するGitの最新バージョン「Git v2.2.1 / v1.8.5.6 / v1.9.5 / v2.0.5 / v2.1.4」がリリースされています(アナウンス、GitHubの発表、Ars Technica、Phoronix)。
発見された脆弱性は、全てのオフィシャルなGitクライアントと、Gitリポジトリに関連するクライアントソフトウェア(GitHub for Windows / GitHub for Macなどにも)に関係しており、クライアント側の脆弱性なので、github.comやGitHub Enterpriseが直接影響を受けたわけではないということ。
具体的には、攻撃者が悪意のあるGitツリーを構築し、ユーザーにclone/checkoutさせることで、ユーザーの.git/configを上書きし、任意のコマンドを実行可能とする脆弱性であると説明されています。大文字小文字を区別しないファイルシステムを採用しているOS X(HFS+)、Microsoft Windows(NTFS/FAT)で実行されているGitクライアントが影響を受けるようです。
github.comでは、悪意あるツリーをブロックし、ホストしているリポジトリもスキャンしたそうですが、できるだけ早急にクライアントを更新したほうがよさそうです。
公式クライアントのほか、Git for Windowsの最新版1.9.5や、libgit2、JGitなどのライブラリも着々と更新されているようです。
