Une industrie à l'échelle faille de sécurité identifiée comme CVE-2018-11235 a été découvert dans Git. La vulnérabilité peut conduire à l'exécution d'un code arbitraire lorsqu'un utilisateur effectue les opérations dans un référentiel malveillant.
CVE-2018-11235 Description officielle
Dans Git avant 2.13.7, 2.14.x avant 2.14.4, 2.15.x avant 2.15.2, 2.16.x avant 2.16.4, et 2.17.x avant 2.17.1, exécution de code à distance peut se produire. Avec un fichier .gitmodules conçu, un projet malveillant peut exécuter un script arbitraire sur une machine qui fonctionne “clone git –recurse-sous-modules” parce que sous-module “noms” sont obtenus à partir de ce fichier, puis ajouté à $ GIT_DIR / modules, conduisant à directory traversal avec “../” un nom. Enfin, crochets post-extraction à partir d'un sous-module sont exécutées, sans passer par le dessin destinée à crochets qui ne sont pas obtenues à partir d'un serveur distant.
Microsoft a récemment rapporté que Git 2.17.1 et Git pour Windows 2.17.1 (2) ont été libérés et comprennent tout le correctif nécessaire. Les services Visual Studio Team (VSTS) équipe prend les questions de sécurité très au sérieux, et nous encourageons tous les utilisateurs à mettre à jour leurs clients Git le plus tôt possible pour corriger cette vulnérabilité, Microsoft dit.
Microsoft a bloqué ces types de référentiels malveillants d'être poussé à VSTS. Cette action contribue à faire en sorte que VSTS ne peuvent pas être exploitées en tant que vecteur pour la transmission de référentiels aux systèmes construits de manière malveillante vulnérables encore sujettes à CVE-2018-11235.
Les utilisateurs exécutant Git pour Windows devrait immédiatement télécharger la dernière version 2.17.1 (2).
En outre, Visual Studio 2017 est également en cours patché et un correctif sera bientôt disponible, Microsoft a promis.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: