製品・ソフトウェアに関する情報

JVN脆弱性詳細

Debian等の複数ベンダの製品におけるパストラバーサルの脆弱性

タイトル	Debian等の複数ベンダの製品におけるパストラバーサルの脆弱性
概要	Gitはリビジョン管理システムです。Gitプロジェクトは、信頼できないリポジトリで作業することを避け、まずgit clone --no-localを使用してクリーンなコピーを取得することを推奨しています。Gitには、信頼できないソースリポジトリからの安全な操作を保証するために特定の保護機能が存在しますが、脆弱性によってこれらの保護機能が回避されてしまいます。例えば、Gitリポジトリの完全なコピーを含む.zipファイルを入手した場合、それが安全であると自動的に信頼してはいけません。これは、フックがそのリポジトリのコンテキスト内で実行されるように設定されている可能性があるからです。この問題は、バージョン2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2、および2.39.4で修正されました。回避策として、信頼できないソースからアーカイブ経由で取得したリポジトリではGitを使用しないようにしてください。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2024年5月14日0:00
登録日	2026年1月7日18:27
最終更新日	2026年1月7日18:27

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

影響を受けるシステム

Debian

Debian GNU/Linux 10.0

Debian GNU/Linux 11.0

Fedora Project

Fedora 40

Git SCM

Git 2.39.4 未満

Git 2.40.0 以上 2.40.2 未満

Git 2.41.0

Git 2.42.0 以上 2.42.2 未満

Git 2.43.0 以上 2.43.4 未満

Git 2.44.0

Git 2.45.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-32465	https://www.cve.org/CVERecord?id=CVE-2024-32465
National Vulnerability Database (NVD)
2	CVE-2024-32465	https://nvd.nist.gov/vuln/detail/CVE-2024-32465

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	名前	URL
Debian Mailing Lists
1	[SECURITY] [DLA 3844-1] git security update	https://lists.debian.org/debian-lts-announce/2024/06/msg00018.html
2	[SECURITY] [DLA 3867-1] git security update	https://lists.debian.org/debian-lts-announce/2024/09/msg00009.html
Fedora mailing-lists
3	[SECURITY] Fedora 40 Update: git-2.45.1-1.fc40 - package-announce - Fedora mailing-lists	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S4CK4IYTXEOBZTEM5K3T6LWOIZ3S44AR/
GitHub Advisory Database
4	Protections for cloning untrusted repositories can be bypassed Advisory git/git GitHub	https://github.com/git/git/security/advisories/GHSA-vm9j-46j9-qvq4
Openwall mailing list archives
5	oss-security - git: 5 vulnerabilities fixed	http://www.openwall.com/lists/oss-security/2024/05/14/2

その他

No	名前	URL
関連文書
1	Git - git Documentation	https://git-scm.com/docs/git#_security
2	Git - git-clone Documentation	https://git-scm.com/docs/git-clone
3	upload-pack: disable lazy-fetching by default git/git@7b70e9e GitHub	https://github.com/git/git/commit/7b70e9efb18c2cc3f219af399bd384c5801ba1d7

変更履歴

No	変更内容	変更日
1	[2026年01月07日] 掲載	2026年1月7日18:27

NVD脆弱性情報

CVE-2024-32465

概要	Git is a revision control system. The Git project recommends to avoid working in untrusted repositories, and instead to clone it first with `git clone --no-local` to obtain a clean copy. Git has specific protections to make that a safe operation even with an untrusted source repository, but vulnerabilities allow those protections to be bypassed. In the context of cloning local repositories owned by other users, this vulnerability has been covered in CVE-2024-32004. But there are circumstances where the fixes for CVE-2024-32004 are not enough: For example, when obtaining a `.zip` file containing a full copy of a Git repository, it should not be trusted by default to be safe, as e.g. hooks could be configured to run within the context of that repository. The problem has been patched in versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4. As a workaround, avoid using Git in repositories that have been obtained via archives from untrusted sources.
公表日	2024年5月15日5:15
登録日	2024年5月15日10:00
最終更新日	2024年11月21日18:14