Une faille de sécurité très sérieuse dans le logiciel #git a été annoncée hier :
▻http://article.gmane.org/gmane.linux.kernel/1853266
Elle affecte les clients git tournant sur MS Windows et Mac OS. Il est urgent de mettre à jour ces clients.
Le principe de l’attaque est de créer, sur un système de fichiers sensible à la casse un fichier .Git/config
(avec un grand G) qui ; lorsqu’il sera récupéré par un client sur un système de fichiers insensible à la casse, écrasera le .git/config
. Ce dernier peut contenir des commandes à exécuter donc la faille permet de faire exécuter des commandes quelconques par la victime.
Windows a des systèmes de fichiers insensibles à la casse. Unix, la plupart du temps, non, et n’est donc pas vulnérable (sauf si on fait un git pull sur un volume VFAT monté...). Le cas de MacOS est un peu plus compliqué : c’est un Unix mais, par défaut, les systèmes de fichiers sont insensibles à la casse, le rendant vulnérable. Certains choisissent, à l’installation, de le rendre sensible, ce qui préserve de la faille, mais cela plante quelques logiciels commerciaux.
La faille a reçu l’identité CVE-2014-9390 mais pas de nom rigolo.
Voir aussi l’annonce de Github, qui dit avoir bloqué tout git push d’un tel nom :
▻https://github.com/blog/1938-vulnerability-announced-update-your-git-clients