De nombreuses branches de Git viennent d’être mises à jour suivant la découverte d’une faille (CVE-2018-17456) pouvant mener à une exécution de code arbitraire à distance.

Lorsqu’un projet est modifié avec l’opérateur --recurse-submodules, Git scanne les fichiers gitmodules à la recherche d’une URL. Celle-ci est envoyée à un sous-processus. Mais si elle est commence par un tiret, elle est interprétée comme une option, ouvrant la voie à un code arbitraire.

Des versions 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 et 2.19.1 ont donc été publiées pour colmater cette importante brèche. Notez que les 2.17.2, 2.18.1 et 2.19.1 ont en plus une vérification fsck qui peut être utilisée pour détecter les dépôts malveillants cherchant à exploiter la faille.

Les nouveaux paquets sont disponibles dans les dépôts et il ne reste donc – en théorie – qu’à vérifier leur présence dans le gestionnaire de mise à jour de chaque distribution.