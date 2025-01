株式会社Flatt Security

GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社(代表取締役社長:井手 康貴 以下、GMO Flatt Security)の「脆弱性リサーチプロジェクト」において、セキュリティリサーチャーのRyotaKがGitの認証情報漏洩につながる6個の脆弱性を報告しました。

関連するプログラム・サービスをご利用の皆様はアドバイザリに従いアップデート等の対策を実施することを推奨いたします。

「脆弱性リサーチプロジェクト」とは

GMO Flatt Securityはソフトウェアプロダクトの脆弱性診断を主軸としてサービスを展開しており、脆弱性の検出において世界トップクラスの実力を持つエンジニアが複数在籍しています。その高い脆弱性検出能力を活かして始まった取り組みがGMO Flatt Securityの「脆弱性リサーチプロジェクト」です。日々の脆弱性診断サービス提供の枠組みの外でも、社会を支える種々のシステムのセキュリティを調査・脆弱性を報告し、その過程で得られた知見を日本発でグローバルに発信しています。

今回報告した脆弱性

■「脆弱性リサーチプロジェクト」の成果など、グローバルな技術発信を行う英語ブログ- 「GMO Flatt Security Research」 https://flatt.tech/research/■「脆弱性リサーチプロジェクト」の成果のうち開示済みのCVE一覧- https://flatt.tech/cve■「脆弱性リサーチプロジェクト」の過去の実績- 執行役員・志賀がUbuntuの権限昇格の脆弱性を報告し、世界最大級のハッキングコンテスト「Pwn2Own」で3万USドルの報奨金を獲得。https://scan.netsecurity.ne.jp/article/2021/05/27/45729.html- セキュリティリサーチャー・RyotaKがWindowsにおいてコマンドインジェクションを引き起こすことができる脆弱性をJava・PHP・Ruby・Goなど8の言語に対して報告。https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/

今回、GMO Flatt SecurityのRyotaKはGitやGitHub関連サービスに対して以下の6個の脆弱性を報告しました。複数の脆弱性の組み合わせによって、最終的にGitの認証情報が悪意のある攻撃者に窃取されてしまう可能性があります。Gitの認証情報が窃取されるということは、多くのソフトウェア企業において最も重要な資産であるソースコードが外部に流出したり、本番環境のソースコードに悪意のあるプログラムが混入させられてエンドユーザーに被害が及んだりするリスクがあることを意味します。

GitおよびGitHubは世界中の開発者に利用されているプログラムであり、今回適切なフローで開発元に報告し、アドバイザリが開示されたことで世界の安全に資することができました。

なお、GitHub Codespacesの脆弱性以外はユーザー側での対策が必要です。関連するプログラム・サービスをご利用の皆様はアドバイザリに従いアップデート等の対策を実施することを推奨いたします。

今回報告した脆弱性に関する詳細な解説は下記の英語ブログ記事で公開しています。

https://flatt.tech/research/posts/clone2leak-your-git-credentials-belong-to-us/

■CVE-2024-52006

Gitにおける、クレデンシャルヘルパーに対してキャリッジリターンを送信してしまう問題

■CVE-2025-23040

GitHub Desktopにおいてキャリッジリターンの取り扱いが不適切であるため、CVE-2024-52006と組み合わせることでGitの認証情報が漏洩する問題

■CVE-2024-50338

Git Credential Managerにおいてキャリッジリターンの取り扱いが不適切であるため、CVE-2024-52006と組み合わせることでGitの認証情報が漏洩する問題

■CVE-2024-53263

Git LFSにおいて、クレデンシャルヘルパーに対して改行文字を送信してしまい、Gitの認証情報が漏洩する問題

■CVE-2024-53858

GitHub CLIをGitHub Codespaces上で実行した際、任意のホストに対してGitHub.com用のアクセストークンを送信してしまう問題

■GitHub Codespacesの脆弱性(ユーザー側での対策が不要なのでCVE採番なし)

GitHub Codespaces上に実装されているクレデンシャルヘルパーにおいて、ホスト名検証が行われていないため、認証情報が外部のホストに対して送信されてしまう問題

