ゆなす🧑‍💻☕🍷🍶🍾🍹🍺

132232 posts 2065 follows 1297 followers

読みは じゅなあず じゃなあす ゆなす のどれでもよいです。（じゅにあ とは読まないこと）
主に G+ の人

ゆなす🧑‍💻☕🍷🍶🍾🍹🍺 juners@oransns.com

つづき QT:
gitの設定の中には設定された文字列がコマンドとして実行されるものやフックのスクリプトが含まれている為、 攻撃者がC:\.gitを掘って実行させたい処理を仕込むと、他のユーザがgitで対応するコマンドを叩いた時に、そこが他のgitリポジトリの中でなければ攻撃者が用意したコマンドが実行される
https://twitter.com/fadis_/status/1514009479771488256?t=kzOL0Mt4RSlQTnvW85qpLQ&s=19

Windowsではgitコマンドを直接叩かずにGUIアプリケーション等に裏でgitを叩かせるのは珍しくなく、こうしたアプリケーションはディレクトリがgit配下なのを見つけると追加の情報を漁りに行きがちなので攻撃者が用意した処理を容易に踏む
https://twitter.com/fadis_/status/1514009481507897345?t=8P3Rcxnwfcm6MbQqB-fj1w&s=19

修正版ではカレントディレクトリがgit管理下かどうか確認する為に上へ辿っていく過程でディレクトリの所有者が変わった場合、そのディレクトリをgit管理下に無いと判断するようになる。この脆弱性の詳細とアップデートが困難な場合の対処法はgithubのblogで解説されている https://twitter.com/fadis_/status/1514009483345010688?t=VoiqA6YQLNE3eY2xzbrsmA&s=19