Une vulnérabilité critique de Git permet un RCE lors du clonage de dépôts avec des sous-modules (CVE-2024-32002).

De nouvelles versions de Git sont disponibles, avec des correctifs pour cinq vulnérabilités, dont la plus critique peut être utilisée par des attaquants pour exécuter du code à distance lors d’une opération de «clonage».

CVE-2024-32002 est une vulnérabilité critique qui permet à des dépôts Git spécialement conçus avec des sous-modules de tromper Git en écrivant des fichiers dans un répertoire .git/ au lieu de l’arborescence du sous-module.

«Cela est possible en confondant Git avec un répertoire et un lien symbolique qui ne diffèrent que par leur nature, de sorte que Git peut écrire l’un ou l’autre, mais pas les deux. Cette confusion peut être utilisée pour manipuler Git afin qu’il écrive un hook qui sera exécuté alors que l’opération de clonage est toujours en cours, ne donnant à l’utilisateur aucune possibilité d’inspecter le code en cours d’exécution», explique Johannes Schindelin, responsable de Git pour Windows.

CVE-2024-32004 permet également l’exécution de code à distance, mais uniquement sur des machines multi-utilisateurs : «Un attaquant peut préparer un dépôt local de manière à ce qu’il ressemble à un clone partiel auquel il manque un objet, de sorte que, lorsque ce dépôt est cloné, Git exécute du code arbitraire pendant l’opération avec toutes les permissions de l’utilisateur effectuant le clonage.»

CVE-2024-32465 peut permettre à des attaquants de contourner les protections pour le clonage de dépôts non fiables, CVE-2024-32020 peut permettre à des utilisateurs non fiables de modifier des objets dans le dépôt cloné, et CVE-2024-32021 peut être utilisé pour manipuler Git afin d’écrire des fichiers en dehors de l’arbre de travail de Git et en dehors de l’arbre de travail de Git.

«La mise à jour vers la dernière version de Git est essentielle pour se protéger contre ces vulnérabilités. Si vous ne pouvez pas effectuer la mise à jour immédiatement, faites attention à l’endroit où vous clonez les dépôts», a conseillé M. Schindelin.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

COMMENCEZ DÈS AUJOURD'HUI

Faites-nous part de vos besoins
Obtenir une réponse le même jour

Vous avez une demande urgente ? Appelez-nous au 1-877-805-7475 ou Prenez rendez-vous.

Une fois le formulaire envoyé :

Un expert vous contactera pour se renseigner sur votre projet de cybersécurité

La portée du projet sera défini (environnement cible, délais, exigences, etc.)

Une soumission détaillée comprenant un prix tout inclus vous est envoyée

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

ÉDITION 2024

Guide de l'Acheteur de Tests d'Intrusion

Tout ce que vous Devez Savoir

Planifiez et réalisez des projets de test d’intrusion avec succès.

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.