プラットフォーム
rust
コンポーネント
gix-worktree-state
修正版
0.36.1
0.11.0
CVE-2024-35186は、gitoxideのgix-worktree-stateコンポーネントにおけるリモートコード実行(RCE)脆弱性です。この脆弱性は、チェックアウト処理中に、パスが作業ツリー内の場所を指しているかどうかの検証が不十分であるために発生します。悪意のあるリポジトリをクローンすると、攻撃者はアプリケーションが書き込み可能な任意の場所にファイルを配置できる可能性があります。影響を受けるバージョンはgitoxideの0.11.0より前のものです。バージョン0.11.0にアップデートすることでこの脆弱性を修正できます。
この脆弱性を悪用すると、攻撃者はgitoxideを利用するアプリケーションをクローンする際に、リポジトリ外、またはリポジトリ内に任意のファイルを書き込むことができます。これにより、システムへの不正アクセス、機密情報の窃取、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。特に、自動化されたビルドプロセスやCI/CDパイプラインでgitoxideを使用している環境では、攻撃者が悪意のあるコードをリポジトリに挿入し、ビルド時に実行させることで、サプライチェーン攻撃を引き起こすリスクがあります。この脆弱性は、類似のファイルパス操作の脆弱性と同様に、広範囲な影響を及ぼす可能性があります。
この脆弱性は、2024年5月22日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)カタログに登録されていません。公的に利用可能なPoC(Proof of Concept)は確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の脅威動向を把握することが重要です。
Developers and systems administrators who use gitoxide in their workflows are at risk. This includes those involved in CI/CD pipelines, automated build processes, and any environment where Git repositories are cloned from untrusted sources. Shared hosting environments where multiple users have write access to the same Git repository are particularly vulnerable.
• linux / server:
find /path/to/git/working/directory -type f -not -path "*/.git/*" -printf '%f\n' | sort | uniq -c | sort -nr | head -10This command searches for the 10 most frequently created files in the Git working directory, which could indicate malicious file creation. • windows / supply-chain:
Get-ChildItem -Path $env:TEMP -Recurse -File | Sort-Object LastWriteTime -Descending | Select-Object -First 10This PowerShell command lists the 10 most recently modified files in the temporary directory, which could reveal suspicious file activity. • generic web:
curl -I <gitoxide_repository_url> | grep 'Content-Type:'Inspect the Content-Type header of the Git repository URL to ensure it's a valid Git repository and not attempting to serve malicious content.
disclosure
エクスプロイト状況
EPSS
0.43% (63% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、gitoxideをバージョン0.11.0以降にアップデートすることです。アップデートがすぐに利用できない場合、信頼できないリポジトリのクローンを一時的に停止するか、クローン前にリポジトリの内容を厳密に検証するスクリプトを導入することを検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、gitoxideのプロセスへの不正なファイル書き込みを検知およびブロックすることも有効です。ファイルシステムのアクセス制御を強化し、gitoxideが書き込み可能なディレクトリを最小限に抑えることも重要です。アップデート後、gitoxide --versionコマンドを実行して、バージョンが0.11.0以降であることを確認してください。
Actualice la biblioteca gitoxide a la versión 0.36.0 o superior. Esto corregirá la vulnerabilidad de recorrido de directorio que permite la ejecución de código arbitrario. Asegúrese de actualizar todas las dependencias que utilicen gitoxide para evitar la propagación de la vulnerabilidad.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-35186は、gitoxideのgix-worktree-stateコンポーネントにおけるリモートコード実行(RCE)脆弱性です。悪意のあるリポジトリのクローンにより、攻撃者は任意の場所にファイルを配置できます。
gitoxideのバージョン0.11.0より前のバージョンを使用している場合は、影響を受けます。
gitoxideをバージョン0.11.0以降にアップデートしてください。
現時点では公的な悪用事例は確認されていませんが、脆弱性の性質上、悪用される可能性は高いと考えられます。
gitoxideの公式アドバイザリは、https://github.com/gitoxide/gitoxide/security/advisories/GHSA-xxxx-xxxx-xxxx を参照してください。(注:実際のURLはgithubのセキュリティアドバイザリページで確認してください。)
Cargo.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。