Git 2.26.0以下*1には、細工したリポジトリをgit cloneしたときに、
そのユーザーのCredential(たとえばGitHub.comをcloneするときに使う認証情報)を奪い取れる脆弱性があります。
📝 取得できる認証情報は credential.helper の設定に依存する
既にPoC(検証するためのコード)もあり、結構簡単なので是非Gitを2.26.1以上にアップデートしましょう。 git submoduleを使うと見た目ではわかりにくい攻撃もできるので、「気をつける」では回避は難しいです。
diff(差分検出アルゴリズム)のJavaライブラリが無いか探したので、参考URLの調査メモ。
※URLなどは2018-01-04時点のもの。
diffツールでのアルゴリズムについては、ざっくりと以下のWiki参照:
JEP-123 で利用時に指定する方法が提案されてJava8で使えるようになったらしい。Linuxだと標準で /dev/random を使うからエントロピーが全部消費されてる状態だとブロックされてた。
| # Two ENV variables control the 'gem' command: | |
| # | |
| # GEM_HOME: the single path to a gem dir where gems are installed | |
| # GEM_PATH: a standard PATH to gem dirs where gems are found | |
| # | |
| # A gem directory is a directory that holds gems. The 'gem' command will lay | |
| # out and utilize the following structure: | |
| # | |
| # bin # installed bin scripts | |
| # cache # .gem files ex: cache/gem_name.gem |
