• はてなブックマーク
  • テクノロジー
  • SIOS Tech. Lab - エンジニアのためになる技術トピックス
  • Twitterでシェア
  • Facebookでシェア

SIOS Tech. Lab - エンジニアのためになる技術トピックス

テクノロジー カテゴリーの変更を依頼 記事元:oss.sios.com
適切な情報に変更
288users がブックマーク コメント 45

    記事へのコメント45

    • 注目コメント
    • 新着コメント
    uunfo
    悪意のあるリポジトリや悪意のあるコミットを含むリポジトリからcloneすると任意のコマンドを実行される可能性がある、と。sshのProxyCommandか。/curl http://example.com/install.sh | sh みたいなのもどうかと思うでほんま

    その他
    katzchang
    「悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります」

    その他
    kazoo_oo
    「悪意のあるレポジトリ」はともかく「悪意のあるコミットを行われたレポジトリ」は深刻だなぁ。

    その他
    ebo-c
    sudo直後とかどうなるのっと。"Third Round: SVN and Mercurial" 主要SCMほとんどに同様の脆弱性があるけど最初に見つかったので取り沙汰されるのかな

    その他
    y___u
    "悪意のあるレポジトリや悪意のあるコミットを行われたレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性"

    その他
    EastHop
    怖すぎるが、これでgitは脆弱性があるから使用禁止とかいうよくわからないことを言い出す人がいないといいなぁ

    その他
    Pasta-K
    こわい

    その他
    Sixeight
    ひゃ

    その他
    mattn
    こえー

    その他
    progrhyme
    悪意のあるリポジトリcloneで任意コマンド実行の脆弱性

    その他
    naga_sawa
    スタンドアロンのは対策したが組み込まれてる系が問題

    その他
    slash_01
    おお

    その他
    houyhnhm
    アイタタタ。GitもSVNもか。

    その他
    hyuki
    これはかなりこわい

    その他
    Dai_Kamijo
    …。「”clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります」『Gitの脆弱性 ( CVE-2017-1000117 )』 — Takuma SHIRAISHI (@ts7i) August 16, 2017 from Tw

    その他
    bouzuya
    やばいじゃん

    その他
    EastHop
    EastHop 怖すぎるが、これでgitは脆弱性があるから使用禁止とかいうよくわからないことを言い出す人がいないといいなぁ

    2017/08/14 リンク

    その他
    matsnow
    「悪意のあるコミット」っていうのが怖すぎる。リポジトリを運用する側でもcloneする側でも、はたして気づけるのか…

    その他
    akira_108
    こわい

    その他
    rryu
    cloneされた方じゃなくてした方がやられるとは…

    その他
    yosuke_furukawa
    “Gitでの"ssh"URLハンドリングにshellコマンドインジェクションの欠陥が見つかりました”

    その他
    delphinus35
    shellコマンドインジェクション……!!

    その他
    mangakoji
    ひえー。しばらくclone禁止か

    その他
    yubessy
    こういうこともあるのか

    その他
    rna
    「悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性」こわ。

    その他
    Soraneko
    怖すぎる

    その他
    tofu-kun
    これは怖い

    その他
    joe-re
    こわい

    その他
    cartman0
    chocorateyのアンインストールもアンインストール用のexe引っ張ってきてだから似たような挙動だった気が

    その他
    rjge
    “Gitでの"ssh"URLハンドリングにshellコマンドインジェクションの欠陥” ”現在の所、CVS, SVN, Gitが対象”

    その他
    donnie28064212
    [git][vulnerability]

    その他
    mojimojikun
    『悪意のあるレポジトリや悪意のあるコミットを行われたをレポジトリに対して"clone"アクションをGitクライアントで実行した際に、Gitクライアントを実行したユーザの権限でshellコマンドを実行される可能性が有ります』

    その他
    hikaru515
    これは怖いね……

    その他
    macoshita
    `git clone ssh://-oProxyCommand=gnome-calculator/wat` で gnome-calculator が立ち上がる。「これで clone しろ」ってのは難しいけど、これをサブモジュールに仕込めばあら不思議と。 http://blog.recurity-labs.com/2017-08-10/scm-vulns

    その他
    luccafort
    これは怖い

    その他
    digo
    なるほど・・ ssh URLにインジェクションされちゃうのか。。

    その他
    kakerukaeru
    これは...

    その他
    sonots
    げー

    その他
    YaSuYuKi
    cloneだけならダウンロードと同じと思いがちだが違うということか……

    その他
    su_zu_ki_1010
    “現在の所、CVS, SVN, Gitが対象になっています。”なるほど。

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    SIOS Tech. Lab - エンジニアのためになる技術トピックス

    こんにちは、やまなかです。 今回はサーバー上の関数を実行するためのプロトコル(通信規格)であるRPC ...

    ブックマークしたユーザー

    • naga_sawa2017/08/26 naga_sawa
    • nfunato2017/08/19 nfunato
    • zsiarre2017/08/19 zsiarre
    • hush_in2017/08/19 hush_in
    • Kenji_s2017/08/18 Kenji_s
    • itog2017/08/17 itog
    • mitukiii2017/08/17 mitukiii
    • tetryl2017/08/17 tetryl
    • laiso2017/08/16 laiso
    • sorshi2017/08/16 sorshi
    • dakiuma2017/08/16 dakiuma
    • YAA2017/08/16 YAA
    • kibitaki2017/08/16 kibitaki
    • jun2002017/08/16 jun200
    • snjx2017/08/16 snjx
    • slash_012017/08/15 slash_01
    • takc9232017/08/15 takc923
    • karia2017/08/15 karia
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.