IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

ALM Discussion :

Annonce d'une faille de sécurité dans Git pour Windows


Sujet :

ALM

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2019
    Messages
    747
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2019
    Messages : 747
    Points : 9 983
    Points
    9 983
    Par défaut Annonce d'une faille de sécurité dans Git pour Windows
    Annonce d'une faille de sécurité dans Git pour Windows,
    elle affecte les utilisateurs travaillant sur des machines multi-utilisateurs

    L'important patch d'avril de Microsoft comprend un bogue qui a déjà été exploité et un second qui a été divulgué publiquement. La première, CVE-2022-24521, que les chercheurs en sécurité de la NSA et de CrowdStrike ont signalé à Microsoft, serait activement en cours d'exploitation. La CVE-2022-24765 affecte les utilisateurs travaillant sur des machines multi-utilisateurs. Il s'agit d'une vulnérabilité d'élévation de privilège, qui se trouve dans le pilote du système de fichiers Common Log de Windows. Une mise à jour de Git aurait été effectuée pour remédier à la vulnérabilité.

    « La dernière version de maintenance Git v2.35.2, ainsi que les anciennes versions de maintenance v2.30.3, v2.31.2, v2.32.1, v2.33.2, et v2.34.2, sont maintenant disponibles. Ces versions de maintenance ont pour but de résoudre les problèmes de sécurité décrits dans CVE-2022-24765 », écrit Junio C Hamano, ingénieur logiciel. Comme indiqué précédemment, la mise à jour concerne uniquement la CVE-2022-24765, un bug intéressant qui affecte le fork Git pour Windows.

    Nom : vde.png
Affichages : 52163
Taille : 4,6 Ko

    L'équipe Git a été un peu plus directe au sujet de la vulnérabilité, et a averti que « le simple fait d'avoir une invite de Git qui exécute git status (ou 'git diff') et de naviguer vers un répertoire qui est censé ne pas être un arbre de travail Git, ou d'ouvrir un tel répertoire dans un éditeur ou un IDE tel que VS Code ou Atom, va potentiellement exécuter des commandes définies par cet autre utilisateur ».

    La faille affecte principalement les machines multi-utilisateurs fonctionnant probablement sous Windows (probablement en raison de la façon dont le système de fichiers du système d'exploitation fonctionne.) En fin de compte, il pourrait s'agir d'un problème de code arbitraire, même s'il faut avoir accès au disque pour le mettre en œuvre.

    Pour résoudre le problème, l'équipe Git recommande une mise à jour. Alternativement, un utilisateur pourrait créer ce dossier .git lui-même et supprimer l'accès en lecture/écriture comme solution de contournement ou « définir ou étendre GIT_CEILING_DIRECTORIES pour couvrir le répertoire parent du profil utilisateur », selon le NIST.

    Détail de CVE-2022-24765

    Git for Windows est un fork de Git contenant des correctifs spécifiques à Windows. CVE-2022-24765 affecte les utilisateurs travaillant sur des machines multi-utilisateurs, où des parties non fiables ont un accès en écriture sur le même disque dur. Ces personnes non autorisées pourraient créer le dossier C:\.git, qui serait récupéré par des opérations Git exécutées soi-disant en dehors d'un dépôt lors de la recherche d'un répertoire Git.

    Git respecterait alors toute configuration dans ledit répertoire Git. Les utilisateurs de Git Bash qui configurent GIT_PS1_SHOWDIRTYSTATE sont également vulnérables. Les utilisateurs qui ont installé posh-git sont vulnérables simplement en démarrant un PowerShell. Les utilisateurs d'IDE tels que Visual Studio sont vulnérables : la simple création d'un nouveau projet permet déjà de lire et de respecter la configuration spécifiée dans C:\.git\config.

    Les utilisateurs du fork Microsoft de Git sont vulnérables simplement en démarrant un Git Bash. Le problème a été corrigé dans Git pour Windows v2.35.2. Les utilisateurs qui ne peuvent pas faire de mise à jour peuvent créer le dossier .git sur tous les lecteurs où des commandes Git sont exécutées, et supprimer l'accès en lecture/écriture de ces dossiers comme solution de contournement. Sinon, définissez ou étendez GIT_CEILING_DIRECTORIES pour couvrir le répertoire _parent_ du profil utilisateur, par exemple C:\Users si le profil utilisateur se trouve dans C:\Users\my-user-name.

    Le NIST poursuit en énumérant les produits potentiellement vulnérables, dont Visual Studio. « Les utilisateurs du fork Microsoft de Git sont vulnérables simplement en démarrant un Bash Git ». Selon l’équipe Git, si l’utilisateur ne peut pas effectuer la mise à niveau immédiatement, les moyens les plus efficaces de réduire le risque sont les suivants :

    • définissez la variable d'environnement GIT_CEILING_DIRECTORIES pour qu'elle contienne le répertoire parent de votre profil utilisateur (c'est-à-dire /Users sur macOS, /home sous Linux, et C:\Users sous Windows) ;
    • évitez d'exécuter Git sur des machines multi-utilisateurs lorsque votre répertoire de travail actuel ne se trouve pas dans un dépôt de confiance.

    Notons que de nombreux outils (tels que l'installation Git pour Windows de Git Bash, posh-git et Visual Studio) exécutent des commandes Git sous le capot. Si l’utilisateur se trouve sur une machine multi-utilisateur, il est recommandé d’éviter d'utiliser ces outils jusqu'à ce qu’une mise à jour à la dernière version soit effectuée.

    Source : Github

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    Microsoft veut aider davantage le secteur de la cybersécurité en lançant un programme de formation dans plusieurs pays, afin de pourvoir des millions d'emplois à l'échelle internationale

    Microsoft confirme avoir été la cible d'un piratage alors que Lapsus$ divulgue 37 Go de code source, mais l'entreprise minimise l'incident et précise que les hackers n'ont eu qu'un accès « limité »

    Microsoft identifie et atténue de nouveaux malware ciblant l'Ukraine « en 3 heures », une opération qui aurait duré des semaines voire des mois il y a quelques années, selon le VP de la sécurité

    Microsoft Defender sera bientôt en mesure de bloquer le vol de mots de passe Windows, grâce à une nouvelle règle de sécurité de type "Attack Surface Reduction" activée par défaut
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite
    Inscrit en
    janvier 2006
    Messages
    659
    Détails du profil
    Informations forums :
    Inscription : janvier 2006
    Messages : 659
    Points : 2 401
    Points
    2 401
    Par défaut
    Pas envie que les trolls anti logiciels libres se précipitent encore plus vite que les hackers pour exploiter la faille, merci.

  3. #3
    Membre expert Avatar de AoCannaille
    Inscrit en
    juin 2009
    Messages
    1 199
    Détails du profil
    Informations forums :
    Inscription : juin 2009
    Messages : 1 199
    Points : 3 836
    Points
    3 836
    Par défaut
    Citation Envoyé par esperanto Voir le message
    Pas envie que les trolls anti logiciels libres se précipitent encore plus vite que les hackers pour exploiter la faille, merci.
    Aprés une petite recherche, la faille a été documentée le 10/02/2022 et la correction publiée le 12/04/2022, soit presque 2 mois.

    Quand on entend parler de failles dans le code privé, c'est, en général, que les boites n'ont pas pris la peine de corriger une faille déclarée en 90 jours.

    Tant qu'on ne me présente pas un faille dans le libre qui a mis plus de 90j à être corrigée, je serai du côté du libre ;-)

  4. #4
    Membre expérimenté Avatar de stigma
    Homme Profil pro
    Développeur en retraite
    Inscrit en
    octobre 2003
    Messages
    1 072
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 71
    Localisation : France, Pas de Calais (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur en retraite
    Secteur : Arts - Culture

    Informations forums :
    Inscription : octobre 2003
    Messages : 1 072
    Points : 1 496
    Points
    1 496
    Par défaut
    Les logiciels sans failles de sécurité sont inexistants apparemment.

Discussions similaires

  1. Réponses: 4
    Dernier message: 28/10/2018, 16h02
  2. Réponses: 1
    Dernier message: 26/01/2015, 17h13
  3. Microsoft dévoile une faille de sécurité dans Internet Explorer
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 13
    Dernier message: 06/05/2014, 17h27
  4. Réponses: 0
    Dernier message: 25/03/2014, 17h26
  5. Facebook ignorerait une faille de sécurité dans ses API
    Par Doksuri dans le forum Actualités
    Réponses: 0
    Dernier message: 07/10/2011, 17h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo