Les vulnérabilités de sécurité de Git invitent les mises à jour

Il est temps pour les développeurs de mettre à jour leurs installations Git locales suite à la découverte d’un ensemble de vulnérabilités.

Le pire des deux défauts (CVE-2022-24765) a le potentiel de permettre à un attaquant d’exécuter des commandes arbitraires.

Les développeurs utilisant Git pour Windows ou Git sur une machine multi-utilisateurs sont les plus exposés, car conseil par GitHub explique :

Cette vulnérabilité affecte les utilisateurs travaillant sur des machines multi-utilisateurs où un acteur malveillant pourrait créer un .git répertoire dans un emplacement partagé au-dessus du répertoire de travail actuel d’une victime. Sous Windows, par exemple, un attaquant pourrait créer C:.gitconfigce qui amènerait toutes les invocations git qui se produisent en dehors d’un référentiel à lire ses valeurs configurées.

Étant donné que certaines variables de configuration (telles que core.fsmonitor) obligent Git à exécuter des commandes arbitraires, cela peut entraîner l’exécution de commandes arbitraires lorsque vous travaillez sur une machine partagée. »

Il est conseillé aux développeurs de logiciels de mettre à niveau leurs systèmes pour Git v2.35.2 afin de se prémunir contre les attaques potentielles, qui reposeraient sur un attaquant obtenant d’abord un accès en écriture sur un système ciblé.

Les développeurs qui utilisent Git sous Linux ou macOS sont également concernés par la faille CVE-2022-24765, quoique dans une moindre mesure. L’application de correctifs dans tous les cas est la ligne de conduite recommandée, mais à part cela, diverses mesures d’atténuation sont disponibles, comme détaillé dans l’avis de GitHub.

Une deuxième vulnérabilité (CVE-2022-24767) est limité au programme de désinstallation de Git pour Windows. Comme pour la faille précédente, un certain niveau d’accès compromis est une condition préalable aux attaques potentielles, comme l’explique l’avis de GitHub.

Les attaques reposeraient sur la plantation de logiciels malveillants .dll fichiers sur un système ciblé.

Les utilisateurs sont invités à mettre à jour Git pour Windows v2.35.2 mais, encore une fois, un certain nombre d’atténuations temporaires offrent une alternative viable.

Le mérite d’avoir découvert la vulnérabilité a été attribué à l’équipe rouge de Lockheed Martin.

GitHub offre un emplacement centralisé pour les référentiels Git, d’où son rôle dans la signalisation de l’exigence de mises à jour logicielles.

Investigation informatique – quand faire appel à un cyber-détective ?

Comment espionner WhatsApp sur iPhone ?

Où faut-il cacher une caméra espion ?

Comment espionner sa femme ?

Renseignement : épouses, mères et espionnes

Groupe coming out pour de nombreux footballeurs célèbres : annonce et nouveaux mots de Jankto

Karma B, les seules drag queens à avoir survécu sur Rai depuis l'arrivée de Meloni : « Est-ce qu'on se sent libre ?

Marcella Bella se considère comme une icône gay, mais Francesca Fagnani la met en difficulté

Les siamois Schappell sont décédés : l'un d'eux s'est révélé trans

Après Fazio et Amadeus, voici l'autre nom que Discovery aimerait piquer à Rai