Git colmate une sérieuse brèche exploitable à distance
1 min
Internet
Internet
De nombreuses branches de Git viennent d’être mises à jour suivant la découverte d’une faille (CVE-2018-17456) pouvant mener à une exécution de code arbitraire à distance.
Lorsqu’un projet est modifié avec l’opérateur –recurse-submodules, Git scanne les fichiers gitmodules à la recherche d’une URL. Celle-ci est envoyée à un sous-processus. Mais si elle est commence par un tiret, elle est interprétée comme une option, ouvrant la voie à un code arbitraire.
Des versions 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 et 2.19.1 ont donc été publiées pour colmater cette importante brèche. Notez que les 2.17.2, 2.18.1 et 2.19.1 ont en plus une vérification fsck qui peut être utilisée pour détecter les dépôts malveillants cherchant à exploiter la faille.
Les nouveaux paquets sont disponibles dans les dépôts et il ne reste donc – en théorie – qu’à vérifier leur présence dans le gestionnaire de mise à jour de chaque distribution.
Commentaires (2)
Abonnez-vous pour prendre part au débat
Déjà abonné ou lecteur ? Se connecter
Cet article est en accès libre, mais il est le produit d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles d'un média expert
Profitez d'au moins 1 To de stockage pour vos sauvegardes
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 08/10/2018 à 15h05
Une URL qui commence par un tiret???
Le 08/10/2018 à 18h46
Ces URL sont définies dans un fichier .gitmodules et sont passées sans contrôle à un process fils qui prend alors cette fausse URL comme une option.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?