原文(日本語に翻訳)
不正な入力によって任意のコマンドが実行される可能性があったBashコマンド処理のコマンドインジェクション脆弱性を修正しました。
原文(英語)
Fixed a command injection vulnerability in bash command processing where malformed input could execute arbitrary commands
概要
Claude CodeのBashコマンド処理において、特殊に細工された入力により意図しない任意のコマンドが実行される可能性があるセキュリティ脆弱性が発見され、修正されました。この修正により、ユーザーの環境がより安全に保護されるようになります。
基本的な使い方
この修正は自動的に適用されます。ユーザー側で特別な設定や操作は不要です。
アップデート方法
bash
# Claude Codeを最新版(v2.1.2以降)に更新
claude --version # 現在のバージョン確認
# 自動更新が有効な場合は自動的に適用
# 手動更新の場合:
# - macOS/Linux: パッケージマネージャーで更新
# - Windows: winget upgrade anthropic.claude-code実践例
修正前の潜在的な脆弱性(例示)
bash
# 以前は以下のような不正な入力が処理される可能性がありました
# (実際の悪用例ではなく、概念的な説明)
# 不正な入力の例:
# ファイル名に特殊文字を含めることで、追加コマンドを実行
malicious_filename="; rm -rf /"
# このような入力が適切にサニタイズされていなかった修正後の安全な動作
bash
# v2.1.2以降では、以下のような入力も安全に処理されます
# 特殊文字を含むファイル名
file="test; echo 'injected command'"
# Claudeに依頼:
"このファイルを読んでください"
# → 特殊文字は適切にエスケープされ、
# ファイル名として正しく処理される
# 追加コマンドは実行されないセキュリティが強化された操作
bash
# ユーザー入力を含む操作が安全に
# 例: ファイル検索
claude "$(whoami)のファイルを探して"
# 例: ディレクトリ操作
claude "このフォルダ名: 'data; ls -la' を作成して"
# どちらも安全に処理され、意図しないコマンドは実行されない企業環境での安心利用
bash
# 社内スクリプトからClaude Codeを呼び出す場合
# v2.1.2以降では、外部入力を含む場合でも安全
#!/bin/bash
USER_INPUT="$1" # ユーザーからの入力
# 以前: 入力のサニタイズが必要だった
# 現在: Claude Code側で適切に処理される
claude "ファイル ${USER_INPUT} を確認してください"注意点
- 必ずアップデートを: この脆弱性はv2.1.2で修正されています。セキュリティのため、必ず最新版にアップデートしてください
- 以前のバージョンは脆弱: v2.1.2未満のバージョンは潜在的な脆弱性を含む可能性があります
- 信頼できないソースからの入力: 修正後も、信頼できないソースからのコマンドやスクリプトを実行する際は注意が必要です
- 多層防御: セキュリティはOSレベル、ネットワークレベルでも適切な対策を講じることを推奨します
- 自動更新の推奨: セキュリティパッチを迅速に適用するため、自動更新を有効にすることを推奨します