gitに脆弱性だと...?アプデしなきゃ...
お馴染みのgitに悪意のあるURLにより資格情報を不正に取得されてしまう脆弱性が発覚し話題になりました
当然アップデートするべきですが、自分の環境だけでなく、
開発環境のサーバもgitが入って、そちらもアップデートする場合もあると思います。
EC2インスタンスの場合
開発者の工夫によりけりですが、通常EC2インスタンスでgitを導入する最も素朴な方法はyumでgitをインストールする方法です
しかしyumでのインストールでは執筆時点(2020年4月末)の最新版がgit 2.23.1
yum updateしても変わらず、
git 2.23系でのgit公式での対策済みバージョンは2.23.2です
yum経由ダメじゃん、どうする、brewを経由するか?直接最新版を指定するか?
となる前に
公式の情報を確認
Amazon Linux Security Centerというサイトがあります
最近話題のgit脆弱性に関する情報はこちら
https://alas.aws.amazon.com/AL2/ALAS-2020-1409.html
Issue Overview:
With a crafted URL that contains a newline in it, the credential helper machinery can be fooled to give credential information for a wrong host. The attack has been made impossible by forbidding a newline character in any value passed via the credential protocol. (CVE-2020-5260 )
google翻訳
改行を含む巧妙に細工されたURLを使用すると、資格情報ヘルパー機構がだまされて、間違ったホストの資格情報が提供される可能性があります。資格情報プロトコルを介して渡される値に改行文字を禁止することにより、攻撃を不可能にしました。(CVE-2020-5260)
つまりマイナーバージョンとしては2.23.1でありながら例の脆弱性については対策済のものが配信されています(amazon独自のyumリポジトリが存在する)
念の為脆弱性のないバージョンにしたいだけならyum update gitするだけでOKですね
慌てて特殊な方法でインストールして忘れたころに混乱するよりは、
公式の対応を待った方が良さそうです
AWS偉いという話でした