LoginSignup
1

More than 5 years have passed since last update.

CVE-2017-1000117 対策のメモ

Last updated at Posted at 2017-08-16

http://blog.recurity-labs.com/2017-08-10/scm-vulns
の対策のメモ

https://github.com/greymd/CVE-2017-1000117
で再現できるレポジトリを作ってる方がいたのでコードを読んでみた

勉強がてら自分でも上記のレポジトリでやってることを真似てみた
https://github.com/bells17/CVE-2017-1000117

ローカルの Mac では brew で git をインストールしていたので
http://tokyo-engineer.com/git-cve-2017-1000117/
で紹介されてる手順と同じような感じで脆弱性を修正したバージョンの git をインストールできた

brew update
brew upgrade git

git のコードの変更は以下のあたりのよう

Github compare
https://github.com/git/git/compare/v2.14.0...v2.14.1

対象の commit
https://github.com/git/git/commit/a4f234bf9bd3fb11fb1608a507783d9412af27a9


脆弱性の影響度がどれくらいなのか気になったので調べてみた

例えば npm だと
https://github.com/npm/npm/issues/6700
で submodule は標準だとインストールされないようになっている

Gem も
http://qiita.com/orange-lion/items/03a699e6764317d6083f

submodules: true

をしないとインストールされないので直接被害受ける可能性は高くない??

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1