Debian dla-4610:git-lfs - セキュリティ更新

high Nessus プラグイン ID 318111

Language:

概要

リモートの Debian ホストに適用されていないセキュリティ関連の更新があります。

説明

リモートのDebian 11ホストには、DLA-4610アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- ------------------------------------------------------------------------- Debian LTSアドバイザリ DLA-4610-1 [email protected] https://www.debian.org/lts/security/Andrej Shadura 2026年5月31日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

パッケージ:git-lfs バージョン:2.13.2-1+deb11u2 CVE ID: CVE-2025-26625

0.5.2から3.7.0までのGit LFSバージョンでは、Gitリポジトリの作業ツリーにGit LFSオブジェクトのコンテンツを入力したとき、Git LFSによって追跡されるファイルのパスと衝突するシンボリックリンクまたはハードリンクが存在する場合、特定のGit LFSコマンドが現在のGit作業ツリーの外側に表示されているファイルに書き込む可能性があります。

git lfs checkoutコマンドとgit lfs pullコマンドは、作業ツリー内のファイルに書き込む前にシンボリックリンクをチェックしないため、攻撃者がシンボリックリンクまたはハードリンクを含むリポジトリを細工し、これらのコマンドを実行するユーザーがアクセスできる任意のファイルシステムの場所にGit LFSが書き込む可能性があります。

また、git lfs checkoutおよびgit lfs pullコマンドがベアリポジトリで実行されると、リポジトリの外部で表示されているファイルに書き込む可能性があります。
この問題、特に git lfs pull の動作を完全に修正するには、 2.42.0 またはそれ以降の Git バージョンが必要です。

回避策として、Gitでのシンボリックリンクのサポートを無効にして、core.symlinks構成オプションをfalseに設定することで、その後、追加のクローンおよびフェッチでシンボリックリンクが作成されなくなります。ただし、既存のリポジトリ内のシンボリックリンクやハードリンクは、Git LFS がターゲットに書き込む機会を提供します。

Debian 11 bullseye では、この問題はバージョン 2.13.2-1+deb11u2 で部分的に修正されています。完全に修正するには、Git 2.42.0 以降も必要です。

お使いの git-lfs パッケージをアップグレードすることを推奨します。

git-lfs の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/git-lfs

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

前述の説明ブロックは、Tenable が Debian セキュリティアドバイザリから直接抽出したものです。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。