L’équipe de développement a publié hier une note signalant toute une série de nouvelles versions pour Git : 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1, 2.29.3 et 2.30.2.
Exploitée, la faille peut permettre l’exécution d’un code arbitraire depuis un dépôt distant pendant une opération de clonage.
Il faut toutefois un contexte particulier, notamment l’utilisation d’un système de fichiers non sensible à la casse mais avec support des liens symboliques, ce qui devrait nettement limiter la portée. Git doit en outre être configuré pour appliquer des filtres clean/smudge delay-capable.
La faille a la référence CVE-2021-21300.
Commentaires (7)
#1
Euh, Windows, non ? Mais effectivement, la conf requise est improbable.
#2
“Avec support des liens symboliques”, cela signifie que Windows est en mode test / développeur. Cela peut permettre aussi d’installer des applications de type Windows Store non signé (d’où le mode développeur).
Donc clairement pas pour le commun des mortels et certainement pas un mode recommandé pour une utilisation de tous les jours.
#2.1
Non, créer un lien symbolique sous Windows c’est mklink dans une console cmd. Pas besoin de mode développeur ou quoi que ce soit. Ça date de Vista.
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753194(v=ws.10)?redirectedfrom=MSDN
#2.2
Effectivement, désolé :
“depuis Windows v1703, mklink permet de créer des liens symboliques sans élévation de compte, si le mode développeur est activé dans Paramètres”
#3
Plutôt NTFS, les FAT ne supportent pas les liens symboliques. Mais donc Windows oui, au moins pour sa partition système.
#4
Sauf erreur, c’est le cas de MacOS par défaut
#5
Ils maintiennent 200 versions en parallèle ?