JVNDB-2024-029791

Debian等の複数ベンダの製品におけるハードコードされたセキュリティ関連の定数の使用に関する脆弱性

Gitはバージョン管理システムです。2.45.1より前の複数のバージョンでは、ローカルのソースリポジトリをファイルシステム経由でクローンする際、シンボリックリンクが含まれている場合に、Gitはターゲットリポジトリのobjectsディレクトリ内に同じファイルシステム上でユーザーが読み取り可能な任意のファイルへのハードリンクを作成する可能性があります。この問題は、ローカルクローンの最適化によってオブジェクトファイルにハードリンクが作成される挙動が原因で発生します。シンボリックリンクの競合状態が発生すると、任意のユーザー所有ファイルへのハードリンクが作成される危険性があります。Gitの影響を受けるすべてのバージョンで、この問題は修正されています。

Debian

• Debian GNU/Linux 10.0
• Debian GNU/Linux 11.0

Fedora Project

• Fedora 40

Git SCM

• Git 2.39.4 未満
• Git 2.40.0 以上 2.40.2 未満
• Git 2.42.0 以上 2.42.2 未満
• Git 2.43.0 以上 2.43.4 未満
• Git 2.41.0
• Git 2.44.0
• Git 2.45.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Debian

• Debian Mailing Lists : [SECURITY] [DLA 3844-1] git security update
• Debian Mailing Lists : [SECURITY] [DLA 3867-1] git security update

Fedora Project

• Fedora mailing-lists : [SECURITY] Fedora 40 Update: git-2.45.1-1.fc40 - package-announce - Fedora mailing-lists

GitHub

• GitHub Advisory Database : Local clone may hardlink arbitrary user-readable files into the new repository's "objects/" directory  Advisory  git/git  GitHub

Openwall

• Openwall mailing list archives : oss-security - git: 5 vulnerabilities fixed

1. ハードコードされたセキュリティ関連の定数の使用(CWE-547) [その他]

1. CVE-2024-32021

1. National Vulnerability Database (NVD) : CVE-2024-32021

• [2026年01月07日]
    掲載