by
Anonymous Coward
on 2020年04月20日 19時42分
(#3801191)
公開されている脆弱性情報より
the affected URLs look rather suspicious; the likely vector would be through systems which automatically clone URLs not visible to the user, such as Git submodules, or package systems built around Git. ---- 脆弱性をつくためのURLは見た目上疑わしいものとなる。考えられる攻撃のシナリオとして、Gitを介したビルドシステムやGitのサブモジュール等、ユーザーがURLを見ることなく自動的にcloneするシステムを介することになるだろう。
どの程度危険なの? (スコア:0)
公開されている脆弱性情報より
Gitを介したビルドシステムというのが想像つかない・・・
# もしCIのように、誰かのコミットを契機に自動ビルド・テストするものだとしても、
# 対象のリポジトリは事前に設定した物になるのでは?
Re: (スコア:0)
その一文に書いてあるとおりですが…
具体的に言うと、たとえば、submodule を使ってるリポジトリで、CI/CDのビルドシステムを使っている場合だと
悪いやつ: git submodule add 悪意のあるURL
ビルドシステム: git submodule update --init
の2ステップで、ビルドシステムが持っている認証情報が悪意のあるURLに流出、というシナリオになります
gitとgithub.comは別物 (スコア:1)
Microsoft が買収したのは github.com ですが、これは gitの開発元ではありませんよ。
gitの開発はオープンソースのコミュニティで行われていて
色んな会社から寄付を貰って活動しています。
https://git-scm.com/ [git-scm.com]
Re: (スコア:0)
↑言わんこっちゃない
Re:言わんこっちゃない (スコア:2)
ACでも間違ったと正直に言いに来るのはとても良いこと
ところでこれプロレスよね?
Re: (スコア:0)
アンチMSの典型例としてさらしておけば。どうせACでしょ。
Re: (スコア:0)
m9(^Д^)プギャー
Re: (スコア:0)
やさしいモデレータが沈めてくれたようだが他にスレッドがないのでもろバレw
Re: (スコア:0)
ところでgitがGitHubを利用してることに対する見解は?
Re: (スコア:0)
他人を勇み足で偉そうに叩くクセに、我が身となればホント見苦しいなw