Git colmate une sérieuse brèche exploitable à distance

De nombreuses branches de Git viennent d’être mises à jour suivant la découverte d’une faille (CVE-2018-17456) pouvant mener à une exécution de code arbitraire à distance.

Lorsqu’un projet est modifié avec l’opérateur --recurse-submodules, Git scanne les fichiers gitmodules à la recherche d’une URL. Celle-ci est envoyée à un sous-processus. Mais si elle est commence par un tiret, elle est interprétée comme une option, ouvrant la voie à un code arbitraire.

Des versions 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 et 2.19.1 ont donc été publiées pour colmater cette importante brèche. Notez que les 2.17.2, 2.18.1 et 2.19.1 ont en plus une vérification fsck qui peut être utilisée pour détecter les dépôts malveillants cherchant à exploiter la faille.

Les nouveaux paquets sont disponibles dans les dépôts et il ne reste donc – en théorie – qu’à vérifier leur présence dans le gestionnaire de mise à jour de chaque distribution.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !