脆弱性の説明:
Gitは、共同ソフトウェア開発のための一般的な分散バージョン管理システムだ。Windows、macOS、Linux、そして様々な*BSDディストリビューションが動作するコンピューターにインストールすることができる。
CVE-2024-32002この脆弱性は、操作中に RCE git clone を可能にしてしまう Git の脆弱性です。サブモジュールを含むリポジトリを特定の方法で細工することで、攻撃者はファイルシステム上で大文字小文字を区別しないシンボリックリンクの処理を使用して .git/ ディレクトリにファイルを書き込み、悪意のあるフックを実行することができます。
この脆弱性の潜在的な影響は、ウェブベースのソフトウェア開発プラットフォームであるGitHubとGitLabの両方で、ソフトウェア開発にGitが広く採用されていることによって悪化している。
影響を受けるバージョン:
この脆弱性は、シンボリックリンクをサポートし、大文字と小文字を区別しないオペレーティングシステムで設定された、2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、2.39.4より前のバージョンのGitにのみ適用されます。
脆弱性の検証:
https://github.com/amalmurali47/git_rce
![[CVE-2024-32002] Git Code バージョン管理ソフトウェアに POC/Exploit によるリモートコード実行の脆弱性](https://static.cncso.com/wp-content/uploads/2024/05/git_poc.png)
![[CVE-2024-32002] Git Code バージョン管理ソフトウェアに POC/Exploit によるリモートコード実行の脆弱性](https://cncso.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
![[CVE-2024-32002] Git Code バージョン管理ソフトウェアに POC/Exploit によるリモートコード実行の脆弱性](https://static.cncso.com/wp-content/uploads/2024/05/git_poc_mac.png)
注:このPoCはWindowsまたはMacシステムでのみ利用可能です。
セキュリティ・アップデート
これらの脆弱性は、Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2、v2.39.4で修正されています。
参照する:
https://amalmurali.me/posts/git-rce/
https://github.com/amalmurali47/git_rce
https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/cve-2024-32002-git-rce-vulnerability-poc-exploit-released.html。
