Git victime d'une vulnérabilité sous Windows et OS X
Qui intrigue la communauté par sa simplicité
Le 2014-12-22 10:52:54, par Arsene Newman, Expert éminent sénior
« Développeurs, si vous êtes adepte du célèbre logiciel de gestion de versions (VCS) Git, vous êtes invité à mettre à jour votre client Windows ou Mac ». C’est le message émis par l’équipe en charge de Git et du réseau social qui en découle GitHub.
À l’origine de ce signal d’alerte, une vulnérabilité découverte le 18 décembre et qui touche toutes les versions du client Git et les logiciels tiers qui interagissent avec les dépôts Git, les logiciels GitHub for Windows et GitHub for Mac sont eux aussi touchés.
Même si elle n’est pas très importante, la faille qui répond au nom de code CVE-2014-9390 est jugée suffisamment sérieuse pour que l’équipe ait publié un correctif. Cette faille qui rappelle d’autres mauvais souvenirs pour la communauté IT ne frappe pas par sa dangerosité, mais par sa simplicité.
En effet, à l’origine de cette faille, le recours exclusif à des systèmes d’exploitation insensibles à la casse sous Windows (NTFS et FAT) et OS X (HFS+). Ces derniers ne faisant pas de différence entre un fichier .git/config qui sert de configuration au VCS et un autre de même nom, mais comportant une majuscule (.Git/config ou encore .giT/config).
Ainsi, un attaquant peut créer un fichier malicieux nommé .Git/config sous un système de fichiers sensible à la casse, puis se substituer au fichier de configuration sous l’un des systèmes vulnérables, après un checkout de la victime. Cela laisse la porte ouverte à toutes sortes de manipulation.
L’équipe en charge du VCS rappelle que les dépôts hébergés sur github.com ne sont pas concernés par cette vulnérabilité, car une telle manipulation du fichier de configuration est désormais bloquée lors d’un push de l’attaquant, les utilisateurs Linux qui utilisent des systèmes sensibles à la casse sont eux aussi exclus, en revanche les librairies libgit2 et JGit sont vulnérables.
Au final, plusieurs correctifs de maintenance ont été publiés pour les principales versions de Git (v1.8.5.6, v1.9.5, v2.0.5, v2.1.4 et v2.2.1), pour le client Git for Windows, les logiciels GitHub for Windows et Mac ainsi que les librairies concernées (libgit2 et JGit).
Source : Annonce officielle
Et vous ?
À l’origine de ce signal d’alerte, une vulnérabilité découverte le 18 décembre et qui touche toutes les versions du client Git et les logiciels tiers qui interagissent avec les dépôts Git, les logiciels GitHub for Windows et GitHub for Mac sont eux aussi touchés.
Même si elle n’est pas très importante, la faille qui répond au nom de code CVE-2014-9390 est jugée suffisamment sérieuse pour que l’équipe ait publié un correctif. Cette faille qui rappelle d’autres mauvais souvenirs pour la communauté IT ne frappe pas par sa dangerosité, mais par sa simplicité.
En effet, à l’origine de cette faille, le recours exclusif à des systèmes d’exploitation insensibles à la casse sous Windows (NTFS et FAT) et OS X (HFS+). Ces derniers ne faisant pas de différence entre un fichier .git/config qui sert de configuration au VCS et un autre de même nom, mais comportant une majuscule (.Git/config ou encore .giT/config).
Ainsi, un attaquant peut créer un fichier malicieux nommé .Git/config sous un système de fichiers sensible à la casse, puis se substituer au fichier de configuration sous l’un des systèmes vulnérables, après un checkout de la victime. Cela laisse la porte ouverte à toutes sortes de manipulation.
L’équipe en charge du VCS rappelle que les dépôts hébergés sur github.com ne sont pas concernés par cette vulnérabilité, car une telle manipulation du fichier de configuration est désormais bloquée lors d’un push de l’attaquant, les utilisateurs Linux qui utilisent des systèmes sensibles à la casse sont eux aussi exclus, en revanche les librairies libgit2 et JGit sont vulnérables.
Au final, plusieurs correctifs de maintenance ont été publiés pour les principales versions de Git (v1.8.5.6, v1.9.5, v2.0.5, v2.1.4 et v2.2.1), pour le client Git for Windows, les logiciels GitHub for Windows et Mac ainsi que les librairies concernées (libgit2 et JGit).
Source : Annonce officielle
Et vous ?
Philippe Bastiani
Membre éprouvé
Oui encore faut-il que le malin est des droits sur le dépôt...
le 22/12/2014 à 15:54