Gitプロジェクトは4月14日(米国時間)、「[Announce] Git v2.26.1 and others - Junio C Hamano」において、脆弱性を修正したバージョンの公開を伝えた。この脆弱性を悪用されると、攻撃者によって任意のサイトの認証データを窃取される可能性があり注意が必要。

脆弱性に関する情報は次のサイトなどから得ることができる。

malicious URLs may cause Git to present stored credentials to the wrong server · Advisory · git/git · GitHub

CVE - CVE-2020-5260

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

git 2.17.3およびこれよりも前のバージョン

git 2.18.2およびこれよりも前のバージョン

git 2.19.3およびこれよりも前のバージョン

git 2.20.2およびこれよりも前のバージョン

git 2.21.1およびこれよりも前のバージョン

git 2.22.2およびこれよりも前のバージョン

git 2.23.1およびこれよりも前のバージョン

git 2.24.1およびこれよりも前のバージョン

git 2.25.2およびこれよりも前のバージョン

git 2.26.0およびこれよりも前のバージョン

脆弱性が修正されたバージョンは次のとおり。

git 2.17.4

git 2.18.3

git 2.19.4

git 2.20.3

git 2.21.2

git 2.22.3

git 2.23.2

git 2.24.2

git 2.25.3

git 2.26.1

CVE - CVE-2020-5260

この脆弱性を受け、gitを含んでいるソフトウェアもアップデートの提供が開始されている。Appleは4月16日(米国時間)、同社の統合開発環境であるXcodeが脆弱性を抱えたgitを含んでいることを踏まえ、問題を修正したXcode 11.4.1を公開した。

About the security content of Xcode 11.4.1 - Apple Support

gitはGitHubでホスティングされているソースコードとのやり取りを行うために使われることも多い。GitHubはソフトウェア開発者によって重要なサービスであり、広く使われている。今回のgitの脆弱性は多くの開発者が影響を受ける可能性があり注意が必要。