Alerte du CERT: Vulnérabilité dans le client Git.

Le 5 octobre 2018, le projet Git a publié un correctif de sécurité concernant le client Git. Celui-ci concerne la vulnérabilité CVE-2018-17456 qui permet à un attaquant d’exécuter du code arbitraire à distance.

La cinématique d’exploitation de cette vulnérabilité est la suivante :

  • L’attaquant crée un fichier « .gitmodules » malveillant dans un projet
  • Lors de la réplication d’un projet via la commande « git clone –recurse-modules », le client Git analyse le fichier « .gitmodules »
  • Si le champ « URL » est une chaîne de caractère commençant par un tiret (« -« ), le sous-processus « git clone » exécutera la chaîne comme une option

Cela conduit à une exécution de code arbitraire à distance sur la machine d’un utilisateur ayant lancé une simple commande « git clone ». La facilité d’exploitation de cette vulnérabilité constitue un risque majeur.

Il est par ailleurs possible d’avoir un comportement non-voulu (chemin brisé) en définissant le champ « PATH » comme une chaîne de caractère commençant par un tiret (« -« ). Ce champ ne semble pas être affecté par la vulnérabilité au sens de l’exécution de code mais peut provoquer des dysfonctionnements lors du clonage de projets.

Le CERT-FR recommande de mettre à jour son client Git sans attendre.


CERT

Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont : - Centralisation des demandes d'assistance à la suite des incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents, - Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERTs, contribution à des études techniques spécifiques, - Ètablissement et maintenance d'une base de donnée des vulnérabilités, - Prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences, - Coordination éventuelle avec les autres entités ( centres de compétence réseaux, opérateurs et fournisseurs d'accès à Internet CERTs nationaux et internationaux). (Sources)
Alerte du CERT: Vulnérabilité dans le client Git
5 (100%) 3 votes

Vues totales 73 (Aujourd'hui 1 )
2018-10-16T08:47:04+00:00By |
HTML Snippets Powered By : XYZScripts.com