Git Project a corrigé une vulnérabilité critique permettant l’exécution de code malveillant à distance
Sources
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17456
https://blog.github.com/2018-10-05-git-submodule-vulnerability/
https://marc.info/?l=git&m=153875888916397&w=2
Risques
Cette vulnérabilité permet une exécution de code malveillant à distance lors du “clonage git” d’un sous-projet si un fichier .gitmodules possède un champ URL commençant par le caractère “-“.
Description
La version 2.19 de GIT a été publiée avec une correction de la vulnérabilité responsable d’une possible exécution de code malveillant lorsqu’un utilisateur clone un répertoire infecté.
Actions recommandées
Afin d’être protégé contre cette vulnérabilité, CERT.be recommande à tous les utilisateurs de mettre à jour GitHub Desktop, Atom, la version en ligne de commande de Git, ainsi que toute autre application qui contiendrait une version intégrée de Git.
Jusqu’à la mise à jour, il est également recommandé d’éviter l’utilisation de sous modules provenant de répertoires d’origine non fiable.