お客さまへのお知らせ : 【重要】git の脆弱性 (CVE-2025-48384 他) について | at+link[エーティーリンク]

お客さまへのお知らせ

2025.08.07

【重要】git の脆弱性 (CVE-2025-48384 他) について

いつもご利用いただき、誠にありがとうございます。
git に重大な脆弱性が確認されたため、以下のとおりご案内いたします。

【脆弱性の概要】

CVE-2025-48384

Git において、設定ファイル内の行末のキャリッジリターン(CR)処理に不備がありました。設定値の末尾に CR が含まれていても、引用符で囲まれていない場合、その CR が無視されてしまいます。これにより、サブモジュールの初期化時に意図しないパスが使用され、サブモジュールが誤った場所にチェックアウトされる可能性があります。

CVE-2025-48385

Git では、リモートサーバーが広告する「バンドル URI」からデータを取得することで、クローン時の一部処理を CDN にオフロードできます。しかし、Git クライアントがこのバンドル情報を十分に検証しないため、悪意のあるリモートサーバーによってプロトコルインジェクションを仕掛けられる可能性があります。

脆弱性の詳細は下記を参照ください。

影響を受けるバージョン

  • AlmaLinux 8
  • RockyLinux 8
  • AlmaLinux 9

対象パッケージのアップデートが必要となります。

(Plesk をご利用中のサーバでは自動アップデートが有効となっております。
念のためアップデートされているかどうか確認ください。不明な場合はサポートまでお問い合わせください)

提供される新バージョン情報(※ 依存パッケージも同時に更新されます)

各 OS ベンダーより本脆弱性の修正パッケージが提供されています。
修正後のバージョンは下記の通りです。

● AlmaLinux 8
  • git-2.43.7-1.el8_10.x86_64.rpm
● RockyLinux 8
  • git-2.43.7-1.el8_10.x86_64.rpm
● AlmaLinux 9
  • git-2.47.3-1.el9_6.x86_64.rpm

確認方法およびアップデート方法

現在のパッケージバージョンは下記で確認が可能です。

■ AlmaLinux 8 / RockyLinux 8 / AlmaLinux 9
○ パッケージ確認
# rpm -qa |grep git
■ AlmaLinux 8 / RockyLinux 8 / AlmaLinux 9
○ アップデート
# dnf upgrade git
○ サービスの利用確認
# dnf needs-restarting
○ サーバ再起動の有無確認
# dnf needs-restarting -r

※ 注意 ※
アップデート後のサーバ再起動やプロセス再起動は不要ですが、必要に応じて対応ください。

すべてのパッケージにてアップデートを行う場合は次のように実施します。
※ この場合、多数のパッケージがアップデートされますので、ご注意ください。

■ AlmaLinux 8 / RockyLinux 8 / AlmaLinux 9

次のコマンドを実施し、アップデート対象となるパッケージが問題ないものか確認の上実施してください。

# dnf check-update

※ アップデート対象が存在しない場合は、下記コマンドを実施後、再度アップデート対象があるか確認してください。

# dnf clean all

アップデート対象となるパッケージが問題ないことを確認できましたら、次にコマンドでアップデートを実施してください。

# dnf upgrade

※ 当サービスでの作業が必要な場合は有償にて実施させていただきます。
作業費用は 5,500円(税共) となりますが、至急もしくは営業時間外の対応をご希望の際は、別途費用が発生します。

【ご協力のお願い】

作業のご依頼やお問い合わせの際には、対象となるサーバを特定できる情報(IP アドレスなど)を併せてご連絡をお願いいたします。

セキュリティーホールの発生時には、当サービスへ作業のご依頼を多数いただく場合がございます。そのため、特に深夜帯での時間指定については、ご希望にそえないこともあることを予めご了承くださいますようお願いいたします。

ご希望の作業日時がある場合は、できる限り当サポート体制の厚い営業時間内でのご指定をお願いいたします。

戻る
ページトップへ