http://blog.recurity-labs.com/2017-08-10/scm-vulns
の対策のメモ
https://github.com/greymd/CVE-2017-1000117
で再現できるレポジトリを作ってる方がいたのでコードを読んでみた
勉強がてら自分でも上記のレポジトリでやってることを真似てみた
https://github.com/bells17/CVE-2017-1000117
ローカルの Mac では brew で git をインストールしていたので
http://tokyo-engineer.com/git-cve-2017-1000117/
で紹介されてる手順と同じような感じで脆弱性を修正したバージョンの git をインストールできた
brew update
brew upgrade git
git のコードの変更は以下のあたりのよう
Github compare
https://github.com/git/git/compare/v2.14.0...v2.14.1
対象の commit
https://github.com/git/git/commit/a4f234bf9bd3fb11fb1608a507783d9412af27a9
脆弱性の影響度がどれくらいなのか気になったので調べてみた
例えば npm だと
https://github.com/npm/npm/issues/6700
で submodule は標準だとインストールされないようになっている
Gem も
http://qiita.com/orange-lion/items/03a699e6764317d6083f
で
submodules: true
をしないとインストールされないので直接被害受ける可能性は高くない??