Accueil > Nouvelles Cyber > CVE-2018-11235 Vulnérabilité Git – Microsoft Patch Communiqués de presse
CYBER NOUVELLES

CVE-2018-11235 Git vulnérabilité – Microsoft Patch Communiqués de presse

Une industrie à l'échelle faille de sécurité identifiée comme CVE-2018-11235 a été découvert dans Git. La vulnérabilité peut conduire à l'exécution d'un code arbitraire lorsqu'un utilisateur effectue les opérations dans un référentiel malveillant.

CVE-2018-11235 Description officielle

Dans Git avant 2.13.7, 2.14.x avant 2.14.4, 2.15.x avant 2.15.2, 2.16.x avant 2.16.4, et 2.17.x avant 2.17.1, exécution de code à distance peut se produire. Avec un fichier .gitmodules conçu, un projet malveillant peut exécuter un script arbitraire sur une machine qui fonctionne “clone git –recurse-sous-modules” parce que sous-module “noms” sont obtenus à partir de ce fichier, puis ajouté à $ GIT_DIR / modules, conduisant à directory traversal avec “../” un nom. Enfin, crochets post-extraction à partir d'un sous-module sont exécutées, sans passer par le dessin destinée à crochets qui ne sont pas obtenues à partir d'un serveur distant.

histoire connexes: CVE-2018-3639: Specter Variante 4 La vulnérabilité affecte le noyau Linux

Microsoft a récemment rapporté que Git 2.17.1 et Git pour Windows 2.17.1 (2) ont été libérés et comprennent tout le correctif nécessaire. Les services Visual Studio Team (VSTS) équipe prend les questions de sécurité très au sérieux, et nous encourageons tous les utilisateurs à mettre à jour leurs clients Git le plus tôt possible pour corriger cette vulnérabilité, Microsoft dit.

Microsoft a bloqué ces types de référentiels malveillants d'être poussé à VSTS. Cette action contribue à faire en sorte que VSTS ne peuvent pas être exploitées en tant que vecteur pour la transmission de référentiels aux systèmes construits de manière malveillante vulnérables encore sujettes à CVE-2018-11235.

Les utilisateurs exécutant Git pour Windows devrait immédiatement télécharger la dernière version 2.17.1 (2).
En outre, Visual Studio 2017 est également en cours patché et un correctif sera bientôt disponible, Microsoft a promis.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord