Une importante faille dans Git, mais à la portée limitée
Le 10 mars 2021 à 08h52
1 min
Logiciel
Logiciel
L’équipe de développement a publié hier une note signalant toute une série de nouvelles versions pour Git : 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1, 2.29.3 et 2.30.2.
Exploitée, la faille peut permettre l’exécution d’un code arbitraire depuis un dépôt distant pendant une opération de clonage.
Il faut toutefois un contexte particulier, notamment l’utilisation d’un système de fichiers non sensible à la casse mais avec support des liens symboliques, ce qui devrait nettement limiter la portée. Git doit en outre être configuré pour appliquer des filtres clean/smudge delay-capable.
La faille a la référence CVE-2021-21300.
Le 10 mars 2021 à 08h52
Commentaires (7)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 10/03/2021 à 10h36
Euh, Windows, non ? Mais effectivement, la conf requise est improbable.
Le 10/03/2021 à 10h51
“Avec support des liens symboliques”, cela signifie que Windows est en mode test / développeur. Cela peut permettre aussi d’installer des applications de type Windows Store non signé (d’où le mode développeur).
Donc clairement pas pour le commun des mortels et certainement pas un mode recommandé pour une utilisation de tous les jours.
Le 10/03/2021 à 11h01
Non, créer un lien symbolique sous Windows c’est mklink dans une console cmd. Pas besoin de mode développeur ou quoi que ce soit. Ça date de Vista.
Microsoft
Le 10/03/2021 à 11h23
Effectivement, désolé :
“depuis Windows v1703, mklink permet de créer des liens symboliques sans élévation de compte, si le mode développeur est activé dans Paramètres”
Le 10/03/2021 à 12h50
Plutôt NTFS, les FAT ne supportent pas les liens symboliques. Mais donc Windows oui, au moins pour sa partition système.
Le 10/03/2021 à 19h18
Sauf erreur, c’est le cas de MacOS par défaut
Le 11/03/2021 à 21h51
Ils maintiennent 200 versions en parallèle ?