【CVE-2024-52308】GitHub CLI 2.61.0以前にリモートコード実行の脆弱性、バージョン2.62.0で修正完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

GitHub CLI 2.61.0以前にリモートコード実行の脆弱性
コードスペースSSHコマンドで悪意のあるコードが実行可能
CLI 2.62.0で修正されユーザー名の検証を強化

GitHub CLI 2.61.0以前のリモートコード実行の脆弱性

GitHub社は2024年11月14日、GitHub CLIに存在するリモートコード実行の脆弱性【CVE-2024-52308】を公開した。この脆弱性は悪意のあるコードスペースSSHサーバーを通じて、gh codespace sshやgh codespace logsコマンドを使用する際に発生する可能性があることが判明している。^[1]

この脆弱性はSSH接続の詳細情報を取得する際に、リモートユーザー名が適切に検証されていないことに起因している。攻撃者は悪意のある第三者のdevcontainerに含まれる改変されたSSHサーバーを通じて、ユーザーのワークステーション上で任意のコードを実行することが可能だ。

GitHub社はこの問題に対応するため、CLI 2.62.0でリモートユーザー名の検証機能を実装し、sshコマンドの引数注入を防止する修正を行った。この更新により、コードスペースSSHサーバーからの接続詳細情報が適切に検証され、安全な接続が確保されるようになっている。

GitHub CLIの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-52308
影響を受けるバージョン	GitHub CLI 2.61.0以前
脆弱性の種類	コマンドインジェクション（CWE-77）
CVSSスコア	8.0（深刻度：高）
修正バージョン	GitHub CLI 2.62.0
対策	リモートユーザー名の検証強化、SSH引数注入の防止

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が意図的に悪意のあるコマンドを注入し、システム上で不正な操作を実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

システムコマンドの実行権限を不正に取得
入力値の検証不備を突いた攻撃が可能
重要な情報の窃取やシステムの破壊に繋がる可能性

GitHub CLIの脆弱性では、SSHコマンドの引数として悪意のあるコードが注入され、ユーザーのワークステーション上で任意のコマンドが実行される危険性があった。この攻撃は-oProxyCommandフラグを使用してsshコマンドに任意のコマンドを注入し、後続の引数を無効化するシェルコメントと組み合わせることで成立する手法だった。

GitHub CLIの脆弱性対策に関する考察

GitHub CLIの脆弱性対策として実装されたリモートユーザー名の検証機能は、コードスペース機能の安全性向上に大きく貢献している。一方で、devcontainer環境の柔軟性とセキュリティのバランスを取ることが今後の課題となるだろう。開発者の利便性を損なわずにセキュリティを確保する方法を模索する必要がある。

今後は悪意のあるdevcontainerを検出する機能やSSH接続時の追加の認証メカニズムの導入が期待される。また、devcontainerのセキュリティベストプラクティスをより明確にし、開発者コミュニティと共有することで、同様の脆弱性の発生を未然に防ぐことが重要だ。

GitHub CLIの進化に伴い、セキュリティ機能の強化とユーザビリティの向上を両立させることが求められる。特にコードスペース機能は今後も重要性を増すことが予想されるため、継続的なセキュリティ対策の改善と、開発者向けのセキュリティガイドラインの整備が望まれる。