2017/08/14 00:37:11
mattn
こえー
2017/08/14 00:38:31
tbpg
"悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります"
2017/08/14 01:23:12
Pasta-K
こわい
2017/08/14 06:25:07
katzchang
「悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります」
2017/08/14 07:23:10
y___u
"悪意のあるレポジトリや悪意のあるコミットを行われたレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性"
2017/08/14 07:33:44
progrhyme
悪意のあるリポジトリcloneで任意コマンド実行の脆弱性
2017/08/14 07:52:25
megomego
こわい
2017/08/14 08:19:36
garage-kid
50
2017/08/14 09:15:20
Sixeight
ひゃ
2017/08/14 09:20:13
gfx
“悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性”
2017/08/14 09:21:05
at_grandpa
うひぇー
2017/08/14 09:41:03
uunfo
悪意のあるリポジトリや悪意のあるコミットを含むリポジトリからcloneすると任意のコマンドを実行される可能性がある、と。sshのProxyCommandか。/curl http://example.com/install.sh | sh みたいなのもどうかと思うでほんま
2017/08/14 09:44:17
jun_ya
悪意あるリポジトリはともかくコミットも含まれとするとそれを見極めるのはなかなか大変そう。
2017/08/14 09:44:26
n_231
あまり怪しい物はcloneすんなってことか。そりゃそうだって気もするが。
2017/08/14 09:49:59
kazoo_oo
「悪意のあるレポジトリ」はともかく「悪意のあるコミットを行われたレポジトリ」は深刻だなぁ。
2017/08/14 09:53:45
ebo-c
sudo直後とかどうなるのっと。"Third Round: SVN and Mercurial" 主要SCMほとんどに同様の脆弱性があるけど最初に見つかったので取り沙汰されるのかな
2017/08/14 09:57:18
su_zu_ki_1010
“現在の所、CVS, SVN, Gitが対象になっています。”なるほど。
2017/08/14 10:22:50
YaSuYuKi
cloneだけならダウンロードと同じと思いがちだが違うということか……
2017/08/14 10:25:39
sonots
げー
2017/08/14 10:29:47
kakerukaeru
これは...
2017/08/14 10:31:42
digo
なるほど・・ ssh URLにインジェクションされちゃうのか。。
2017/08/14 10:45:12
luccafort
これは怖い
2017/08/14 10:51:05
macoshita
`git clone ssh://-oProxyCommand=gnome-calculator/wat` で gnome-calculator が立ち上がる。「これで clone しろ」ってのは難しいけど、これをサブモジュールに仕込めばあら不思議と。 http://blog.recurity-labs.com/2017-08-10/scm-vulns
2017/08/14 11:02:18
hikaru515
これは怖いね……
2017/08/14 11:05:14
mojimojikun
『悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります』
2017/08/14 11:30:23
donnie28064212
[git][vulnerability]
2017/08/14 11:47:24
rjge
“Gitでの"ssh"URLハンドリングにshellコマンドインジェクションの欠陥” ”現在の所、CVS, SVN, Gitが対象”
2017/08/14 11:48:54
cartman0
chocorateyのアンインストールもアンインストール用のexe引っ張ってきてだから似たような挙動だった気が
2017/08/14 12:09:58
joe-re
こわい
2017/08/14 12:14:11
tofu-kun
これは怖い
2017/08/14 12:15:26
Soraneko
怖すぎる
2017/08/14 12:16:50
rna
「悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性」こわ。
2017/08/14 12:39:43
yubessy
こういうこともあるのか
2017/08/14 13:01:42
z3100
CVS,SVN,git。。
2017/08/14 13:05:29
sunayuki
こわっ
2017/08/14 13:07:08
mangakoji
ひえー。しばらくclone禁止か
2017/08/14 13:16:10
delphinus35
shellコマンドインジェクション……!!
2017/08/14 13:58:59
ka2hik0
どうしろと。
2017/08/14 14:07:12
yosuke_furukawa
“Gitでの"ssh"URLハンドリングにshellコマンドインジェクションの欠陥が見つかりました”
2017/08/14 14:19:28
rryu
cloneされた方じゃなくてした方がやられるとは…
2017/08/14 16:05:19
akira_108
こわい
2017/08/14 17:17:51
matsnow
「悪意のあるコミット」っていうのが怖すぎる。リポジトリを運用する側でもcloneする側でも、はたして気づけるのか…
2017/08/14 17:45:59
torus108
“悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性” こわい
2017/08/14 19:00:39
EastHop
怖すぎるが、これでgitは脆弱性があるから使用禁止とかいうよくわからないことを言い出す人がいないといいなぁ
2017/08/14 21:40:01
bouzuya
やばいじゃん
2017/08/15 11:13:47
Dai_Kamijo
…。「”clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります」『Gitの脆弱性 ( CVE-2017-1000117 )』 — Takuma SHIRAISHI (@ts7i) August 16, 2017 from Tw
2017/08/15 12:02:26
hyuki
これはかなりこわい
2017/08/15 19:00:51
houyhnhm
アイタタタ。GitもSVNもか。
2017/08/15 23:54:07
slash_01
おお