JVNDB-2024-029790

Debian等の複数ベンダの製品におけるパストラバーサルの脆弱性

Gitはリビジョン管理システムです。Gitプロジェクトは、信頼できないリポジトリで作業することを避け、まずgit clone --no-localを使用してクリーンなコピーを取得することを推奨しています。Gitには、信頼できないソースリポジトリからの安全な操作を保証するために特定の保護機能が存在しますが、脆弱性によってこれらの保護機能が回避されてしまいます。例えば、Gitリポジトリの完全なコピーを含む.zipファイルを入手した場合、それが安全であると自動的に信頼してはいけません。これは、フックがそのリポジトリのコンテキスト内で実行されるように設定されている可能性があるからです。この問題は、バージョン2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、および2.39.4で修正されました。回避策として、信頼できないソースからアーカイブ経由で取得したリポジトリではGitを使用しないようにしてください。

Debian

• Debian GNU/Linux 10.0
• Debian GNU/Linux 11.0

Fedora Project

• Fedora 40

Git SCM

• Git 2.39.4 未満
• Git 2.40.0 以上 2.40.2 未満
• Git 2.42.0 以上 2.42.2 未満
• Git 2.43.0 以上 2.43.4 未満
• Git 2.41.0
• Git 2.44.0
• Git 2.45.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Debian

• Debian Mailing Lists : [SECURITY] [DLA 3844-1] git security update
• Debian Mailing Lists : [SECURITY] [DLA 3867-1] git security update

Fedora Project

• Fedora mailing-lists : [SECURITY] Fedora 40 Update: git-2.45.1-1.fc40 - package-announce - Fedora mailing-lists

GitHub

• GitHub Advisory Database : Protections for cloning untrusted repositories can be bypassed  Advisory  git/git  GitHub

Openwall

• Openwall mailing list archives : oss-security - git: 5 vulnerabilities fixed

1. パス・トラバーサル(CWE-22) [その他]

1. CVE-2024-32465

1. National Vulnerability Database (NVD) : CVE-2024-32465
2. 関連文書 : Git - git-clone Documentation
3. 関連文書 : upload-pack: disable lazy-fetching by default  git/git@7b70e9e  GitHub
4. 関連文書 : Git - git Documentation

• [2026年01月07日]
    掲載