Other official information and services: www.belgium.be

Git Project a corrigé une vulnérabilité critique permettant l’exécution de code malveillant à distance

Référence:

Advisory #2018-26

Version:

1.0

Logiciels concernés :

Git 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 en versions précédentes

Type:

Exécution de code malveillant à distance.

CVE/CVSS:

Date:

09/10/2018

Sources

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17456

https://blog.github.com/2018-10-05-git-submodule-vulnerability/

https://marc.info/?l=git&m=153875888916397&w=2

Risques

Cette vulnérabilité permet une exécution de code malveillant à distance lors du “clonage git” d’un sous-projet si un fichier .gitmodules possède un champ URL commençant par le caractère “-“.

Description

La version 2.19 de GIT a été publiée avec une correction de la vulnérabilité responsable d’une possible exécution de code malveillant lorsqu’un utilisateur clone un répertoire infecté.

Actions recommandées

Afin d’être protégé contre cette vulnérabilité, CERT.be recommande à tous les utilisateurs de mettre à jour GitHub Desktop, Atom, la version en ligne de commande de Git, ainsi que toute autre application qui contiendrait une version intégrée de Git.

Jusqu’à la mise à jour, il est également recommandé d’éviter l’utilisation de sous modules provenant de répertoires d’origine non fiable.