Git a récemment publié de nouvelles mises à jour pour corriger deux vulnérabilités de sécurité critiques qui pourraient permettre aux pirates de lancer des attaques d’exécution de code à distance. La société a également corrigé une autre faille spécifique à Windows affectant l’outil d’interface graphique Git.
Les chercheurs en sécurité de X41 et l’équipe de recherche en sécurité de GitLab ont d’abord identifié les vulnérabilités de sécurité dans le cadre d’un audit de la base de code Git. Les deux premières failles (CVE-2022-41903) et (CVE-2022-23521) existent dans le mécanisme de formatage de validation et analyseur.gitattributes. Les vulnérabilités de sécurité affectent spécifiquement les versions 2.39 et antérieures de Git ainsi que GitLab Community Edition (CE) et Enterprise Edition (EE).
La troisième vulnérabilité ( CVE-2022-41953) est causé par un problème dans le chemin de recherche non approuvé. Cela pourrait permettre aux pirates d’exécuter du code arbitraire lors du clonage de référentiels avec l’interface graphique Git. La société n’a pas encore corrigé la faille, mais elle conseille aux utilisateurs d’éviter de cloner des référentiels avec le logiciel d’interface graphique Git ou des sources non fiables.
“Le problème le plus grave découvert permet à un attaquant de déclencher une corruption de mémoire basée sur le tas lors d’opérations de clonage ou d’extraction, ce qui peut entraîner l’exécution de code. Un autre problème critique permet l’exécution de code lors d’une opération d’archivage, qui est généralement effectuée par les forges Git. De plus, un grand nombre de problèmes liés aux nombres entiers ont été identifiés, ce qui peut entraîner des situations de déni de service, des lectures hors limites ou simplement des cas critiques mal gérés sur des entrées volumineuses », a expliqué Experts en sécurité X41.
Git recommande les utilisateurs pour passer à la dernière version
Git exhorte tous les administrateurs informatiques et les clients à passer à la version 2.39.1 de Git afin de se protéger contre les failles de sécurité. La société a également fourni des recommandations aux développeurs qui ne peuvent pas installer immédiatement les derniers correctifs.
De plus, Git a détaillé certaines étapes proactives qui peuvent aider à protéger les utilisateurs contre ces types d’attaques à l’avenir. Si vous êtes intéressé, nous vous invitons à consulter le blog poster pour plus de détails.