IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Annonce d'une faille de sécurité dans Git pour Windows,
Elle affecte les utilisateurs travaillant sur des machines multi-utilisateurs

Le , par Bruno

104PARTAGES

5  0 
L'important patch d'avril de Microsoft comprend un bogue qui a déjà été exploité et un second qui a été divulgué publiquement. La première, CVE-2022-24521, que les chercheurs en sécurité de la NSA et de CrowdStrike ont signalé à Microsoft, serait activement en cours d'exploitation. La CVE-2022-24765 affecte les utilisateurs travaillant sur des machines multi-utilisateurs. Il s'agit d'une vulnérabilité d'élévation de privilège, qui se trouve dans le pilote du système de fichiers Common Log de Windows. Une mise à jour de Git aurait été effectuée pour remédier à la vulnérabilité.

« La dernière version de maintenance Git v2.35.2, ainsi que les anciennes versions de maintenance v2.30.3, v2.31.2, v2.32.1, v2.33.2, et v2.34.2, sont maintenant disponibles. Ces versions de maintenance ont pour but de résoudre les problèmes de sécurité décrits dans CVE-2022-24765 », écrit Junio C Hamano, ingénieur logiciel. Comme indiqué précédemment, la mise à jour concerne uniquement la CVE-2022-24765, un bug intéressant qui affecte le fork Git pour Windows.


L'équipe Git a été un peu plus directe au sujet de la vulnérabilité, et a averti que « le simple fait d'avoir une invite de Git qui exécute git status (ou 'git diff') et de naviguer vers un répertoire qui est censé ne pas être un arbre de travail Git, ou d'ouvrir un tel répertoire dans un éditeur ou un IDE tel que VS Code ou Atom, va potentiellement exécuter des commandes définies par cet autre utilisateur ».

La faille affecte principalement les machines multi-utilisateurs fonctionnant probablement sous Windows (probablement en raison de la façon dont le système de fichiers du système d'exploitation fonctionne.) En fin de compte, il pourrait s'agir d'un problème de code arbitraire, même s'il faut avoir accès au disque pour le mettre en œuvre.

Pour résoudre le problème, l'équipe Git recommande une mise à jour. Alternativement, un utilisateur pourrait créer ce dossier .git lui-même et supprimer l'accès en lecture/écriture comme solution de contournement ou « définir ou étendre GIT_CEILING_DIRECTORIES pour couvrir le répertoire parent du profil utilisateur », selon le NIST.

Détail de CVE-2022-24765

Git for Windows est un fork de Git contenant des correctifs spécifiques à Windows. CVE-2022-24765 affecte les utilisateurs travaillant sur des machines multi-utilisateurs, où des parties non fiables ont un accès en écriture sur le même disque dur. Ces personnes non autorisées pourraient créer le dossier C:\.git, qui serait récupéré par des opérations Git exécutées soi-disant en dehors d'un dépôt lors de la recherche d'un répertoire Git.

Git respecterait alors toute configuration dans ledit répertoire Git. Les utilisateurs de Git Bash qui configurent GIT_PS1_SHOWDIRTYSTATE sont également vulnérables. Les utilisateurs qui ont installé posh-git sont vulnérables simplement en démarrant un PowerShell. Les utilisateurs d'IDE tels que Visual Studio sont vulnérables : la simple création d'un nouveau projet permet déjà de lire et de respecter la configuration spécifiée dans C:\.git\config.

Les utilisateurs du fork Microsoft de Git sont vulnérables simplement en démarrant un Git Bash. Le problème a été corrigé dans Git pour Windows v2.35.2. Les utilisateurs qui ne peuvent pas faire de mise à jour peuvent créer le dossier .git sur tous les lecteurs où des commandes Git sont exécutées, et supprimer l'accès en lecture/écriture de ces dossiers comme solution de contournement. Sinon, définissez ou étendez GIT_CEILING_DIRECTORIES pour couvrir le répertoire _parent_ du profil utilisateur, par exemple C:\Users si le profil utilisateur se trouve dans C:\Users\my-user-name.

Le NIST poursuit en énumérant les produits potentiellement vulnérables, dont Visual Studio. « Les utilisateurs du fork Microsoft de Git sont vulnérables simplement en démarrant un Bash Git ». Selon l’équipe Git, si l’utilisateur ne peut pas effectuer la mise à niveau immédiatement, les moyens les plus efficaces de réduire le risque sont les suivants :

  • définissez la variable d'environnement GIT_CEILING_DIRECTORIES pour qu'elle contienne le répertoire parent de votre profil utilisateur (c'est-à-dire /Users sur macOS, /home sous Linux, et C:\Users sous Windows) ;
  • évitez d'exécuter Git sur des machines multi-utilisateurs lorsque votre répertoire de travail actuel ne se trouve pas dans un dépôt de confiance.

Notons que de nombreux outils (tels que l'installation Git pour Windows de Git Bash, posh-git et Visual Studio) exécutent des commandes Git sous le capot. Si l’utilisateur se trouve sur une machine multi-utilisateur, il est recommandé d’éviter d'utiliser ces outils jusqu'à ce qu’une mise à jour à la dernière version soit effectuée.

Source : Github

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Microsoft veut aider davantage le secteur de la cybersécurité en lançant un programme de formation dans plusieurs pays, afin de pourvoir des millions d'emplois à l'échelle internationale

Microsoft confirme avoir été la cible d'un piratage alors que Lapsus$ divulgue 37 Go de code source, mais l'entreprise minimise l'incident et précise que les hackers n'ont eu qu'un accès « limité »

Microsoft identifie et atténue de nouveaux malware ciblant l'Ukraine « en 3 heures », une opération qui aurait duré des semaines voire des mois il y a quelques années, selon le VP de la sécurité

Microsoft Defender sera bientôt en mesure de bloquer le vol de mots de passe Windows, grâce à une nouvelle règle de sécurité de type "Attack Surface Reduction" activée par défaut

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de AoCannaille
Membre expert https://www.developpez.com
Le 14/04/2022 à 10:25
Citation Envoyé par esperanto Voir le message
Pas envie que les trolls anti logiciels libres se précipitent encore plus vite que les hackers pour exploiter la faille, merci.
Aprés une petite recherche, la faille a été documentée le 10/02/2022 et la correction publiée le 12/04/2022, soit presque 2 mois.

Quand on entend parler de failles dans le code privé, c'est, en général, que les boites n'ont pas pris la peine de corriger une faille déclarée en 90 jours.

Tant qu'on ne me présente pas un faille dans le libre qui a mis plus de 90j à être corrigée, je serai du côté du libre ;-)
5  2 
Avatar de esperanto
Membre émérite https://www.developpez.com
Le 14/04/2022 à 7:32
Pas envie que les trolls anti logiciels libres se précipitent encore plus vite que les hackers pour exploiter la faille, merci.
1  1 
Avatar de stigma
Membre expérimenté https://www.developpez.com
Le 22/04/2022 à 17:35
Les logiciels sans failles de sécurité sont inexistants apparemment.
0  0