Git の脆弱性へのアトラシアン製品の対応と SourceTree の更新方法

【 この記事は、3323人に読まれています】

 

CVE-2014-9390


DVCS Git についての脆弱性 (CVE-2014-9390) について話題が持ち切りですが、アトラシアン製品の多くも Git に関連しているため、12月18日時点にて情報提供をしております。

Atlassian update for Git and Mercurial vulnerability | Atlassian Blogs


なお、この脆弱性は、Git 1.8.5.6, 1.9.5, 2.0.5, 2.1.4, 2.2.1 で対応しているため、各 Git クライアント(≒ 開発者の開発マシン) での対応が必要となります。

また、この影響は、Windows, Mac OS X に及びます(ファイル名の大文字小文字の区別をしないファイルシステム)。したがって Linux 環境には影響しないようです。

 

アトラシアン製品での対応


アトラシアン製品も Git と深く関係のあるものが多数あります。

  • SourceTree
  • Bitbucket
  • Stash
  • Bamboo
  • FishEye
  • Crucible

この問題は、クライアントサイドの問題であるため、サーバーサイドである Bitbucket と Stash では影響を受けないとのことです。

Bitbucet は、ホスティング環境ですが、Stash はオンプレミスの Git リポジトリですので、個人的には、こちらもこの機会に修正版に更新した方がいいかなと思います(Windows/Mac OS X にホストしている場合)。

Bamboo は、継続的インテグレーションとデプロイメントのシステムですが、Git リポジトリの監視や操作を行うので、クライアントとして見た方がよいです。

したがって、クライアントと同様に Git の更新をしてください。Bamboo Cloud を使っている場合は、Elastic Bamboo で Windows AMI を使っている場合は、こちらも更新が必要です。

詳細および正確な情報については、Atlassian update for Git and Mercurial vulnerability をご覧ください。こちらの情報が「正」となります。

 

その他の Git 関連ツールの情報


Microsoft と GitHub での対応については、安心と信頼のさとうなおきさんが、日本語訳をして自身のブログで公開してくれています。こちらも合わせて参考にしましょう。

.git\configのGit脆弱性 | S/N RATIO


 

SourceTree for Windows での更新


SourceTree for Windows では、更新版がでてきますので、適用しましょう。

image
v1.6.12 ですね。CVE-2014-9390 についても明記されています。

インストールが終わったら、SourceTree を起動して、使用している Git バージョンを確認しましょう。「ツール | オプション」メニューを起動し、「Git」タブを開きます。

image
[内蔵 Git を更新] ボタンをクリックします。

Git の適正バージョンがダウンロードされ、適用されます。

image
私の環境の場合は、1.9.5 でした。

[内蔵 Git を使用] ボタンをクリックすると内蔵の Git が採用されます。システム Git の場合は、各自で Git の更新作業を行いましょう。

 

SourceTree for Mac での更新


基本的には、Windows 版と同様です。

SourceTree を起動したら、「アップデートを確認」をしましょう。

スクリーンショット 2014-12-22 14.35.38
SourceTree for Mac 2.0.4 で対応しているのがわかります。

スクリーンショット 2014-12-22 14.36.34
おっと、ここで SourceTree を再起動すると、一見、英語 UI のように見えますが、UI の翻訳が追い付いていないようです。この辺りは、少しの時間ご容赦ください。

「Prefarences」をクリックして、Git タブに移動します。

スクリーンショット 2014-12-22 14.40.30
[内蔵 の Git に戻す] ボタンをクリックすると

スクリーンショット 2014-12-22 14.41.46
最新の 2.2.1 になります。

内蔵 Git だけではなく、OS にインストールしてある Git も脆弱性のあるバージョンを使っている場合は、更新をしましょう!

【 この記事は、3323人に読まれています】

Posted in ツール and tagged , , , , , , .

長沢智治

アトラシアンのシニア エバンジェリスト。

ALM, アジャイルなどの開発プラットフォームの訴求を中心に活動している。認定スクラムマスター、ASTER テストツールWG、『アジャイルソフトウェアエンジニアリング』『C# 実践開発手法』の監訳、Agile Ultimate Stories Iteration 1,2,3,4,5 など寄稿、共同執筆多数。

コメントを残す