Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2017年8月18日

「Gitに脆弱性ある?」の代わりに「うんこもりもりした?」と問う人が続出した経緯まとめ。

セキュリティの脆弱性を再現するために下ネタを出力するリポジトリ(POC)を遊びで作ったら、脆弱性チェックのスタンダードとして国内に普及してしまった話。 Gitなどのバージョン管理システムのアップデートがまだの方はお早めにアップデートを。。
7
主要なバージョン管理システムにセキュリティ上の脆弱性が発見される

リポジトリをcloneしただけで任意のコードを実行される可能性が。

Gitの脆弱性 ( CVE-2017-1000117 )

仮説と検証 @criticabug

Git, SVN, Mercurial にセキュリティアップデート来てる。加工されたURLで任意コード実行の脆弱性 people.canonical.com/~ubuntu-securi… esecurityplanet.com/threats/git-sv…

2017-08-13 01:52:56
Blacknon@お引越ししたい @blacknon_

gitの脆弱性、cloneでOSコマンドインジェクションの脆弱性ってやだなこれ

2017-08-14 02:25:19
そーだい@初代ALF @soudai1025

デザイナーの人とかnpmとかComposerを使ってるけどgit使ってるかはよくわかってないみたいな人が多いと思うので$ brew upgrade git しましょうって最寄りのデザイナーには教えてあげてください。

2017-08-14 11:10:22
そーだい@初代ALF @soudai1025

gitで騒いでるけど僕がgit使ってるからgitの事わかるだけでSVNもMercurialも影響受けるからね。TortoiseSVNとか使ってる人とか要注意だね。

2017-08-14 11:36:29
脆弱性を利用したリポジトリを作る人が出現
ぐれさん😉 @grethlen

Gitの脆弱性ほんと簡単につけるなーこわw。 海外では既出ネタだけど、俺もクローンしたら任意のコード実行するリポジトリつくってみたよ。 --recursiveオプションをつけてクローンしてみよう❗ 「うんこもりもり」と表示されるよ! github.com/greymd/CVE-201… pic.twitter.com/QkDygSlcqX

2017-08-15 01:53:27
拡大
あっきぃ@超同人祭3/28ラ08 @Akkiesoft

微妙に明朝体っぽいのが腹たつわ〜〜

2017-08-15 01:55:55
ぐれさん😉 @grethlen

この脆弱性、要は.gitmodules内にシェル芸を仕込む作業なので、 #難読化シェル芸 クラスタの方々の出番ではなかろうか。 #アカン

2017-08-15 02:06:35
ぐれさん😉 @grethlen

あー、Gitリポジトリ上に実行したい任意のコードを記載したファイルを置いて ssh://-oProxyCommand=sh<file /hoge などとすれば良いのか。。

2017-08-15 02:12:49
ぐれさん😉 @grethlen

今回の脆弱性は本当に洒落にならんので、早急にgit更新しましょう。手動でcloneしないから大丈夫なんてことは全くなくて、あなたが手でしなくても、裏で多くのプラグインマネージャの類(brewとかcomposerとかantigenなどなど)は使ってるので。

2017-08-15 02:21:47
ぐれさん😉 @grethlen

気付いたらマシンのリソースの一部をコソコソとビットコインの採掘に利用されてたなんてことがありますので。。。

2017-08-15 02:23:13
ぱぴろんちゃん🥺 @papiron

git脆弱性が想像以上にヤベエ(;ω;)

2017-08-15 08:10:44
上田 隆一 @ryuichiueda

2回slが走ったら3回目もあると思って相当焦る・・・ #焦った

2017-08-15 09:01:56
ぱぴろんちゃん🥺 @papiron

@grethlen Mac標準添付のGitだと「しかぶった」やないですか!!(;ω;) #方言 #九州 pic.twitter.com/cIssD387OV

2017-08-15 09:33:38
拡大
Kyohei Nanba @kyo_nanba

gitの脆弱性チェック。おもしろいw // github.com/greymd/CVE-201…

2017-08-15 13:22:51
何故か脆弱性チェック用のリポジトリとして着々と広がりはじめる・・・
田畑 浩平@個人アプリがDomani掲載🎉 @nerd0geek1

「gitの脆弱性チェックするのにこのリポジトリcloneすればいいよ」って言われたけど、表示されるメッセージがズルすぎるwww git clone --recursive github.com/greymd/CVE-201…

2017-08-15 14:19:10
iruka3 @iruka3

え今回のはサーバー側ではなくてクライアント側のGitコマンドなのか・・・。 Windowsでも「うんこもりもり」出来るのかなー。 今度やってみよう RE twitter.com/grethlen/statu…

2017-08-15 14:24:39
残りを読む(68)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?