Deux nouvelles vulnérabilités de sécurité pour Git
Deux vulnérabilités ont été découvertes dans Git, l’une d’entre elles (CVE-2022-24765) peut permettre à un attaquant d'exécuter des commandes arbitraires.
Les développeurs utilisant Git pour Windows ou Git sur une machine multi-utilisateurs sont les plus exposés, comme l'explique un avis de GitHub :
« Cette vulnérabilité affecte les utilisateurs travaillant sur des machines multi-utilisateurs où un acteur malveillant pourrait créer un répertoire .git dans un emplacement partagé au-dessus du répertoire de travail actuel d'une victime. Sous Windows, par exemple, un attaquant pourrait créer C:.gitconfig, qui ferait en sorte que toutes les invocations git qui se produisent en dehors d'un dépôt lisent ses valeurs configurées. »
Comme certaines variables de configuration (telles que core.fsmonitor) amènent Git à exécuter des commandes arbitraires, cela peut conduire à l'exécution de commandes arbitraires lorsque l'on travaille sur une machine partagée.
Il est conseillé aux développeurs de logiciels de mettre à niveau leurs systèmes vers Git v2.35.2 afin de se prémunir contre les attaques potentielles, qui supposent qu'un attaquant obtienne d'abord un accès en écriture sur un système ciblé.
Les développeurs qui utilisent Git sur Linux ou macOS sont également affectés par la faille CVE-2022-24765, mais dans une moindre mesure. Dans tous les cas, il est recommandé d'appliquer un correctif, mais à défaut, diverses mesures d'atténuation sont disponibles, comme le précise l'avis de GitHub.
La deuxième vulnérabilité (CVE-2022-24767) est limitée au désinstalleur de Git pour Windows. Comme pour la faille précédente, un certain niveau d'accès compromis est une condition préalable aux attaques potentielles, comme l'explique l'avis de GitHub.
Il est conseillé aux utilisateurs d'effectuer une mise à jour vers Git pour Windows v2.35.2 mais, là encore, un certain nombre de mesures d'atténuation temporaires constituent une alternative viable.