Aller au contenu
Couillaman le site une demo bientot ! ×

Vulnérabilité annoncée sur github


Phobos
 Share

Messages recommandés

Une faille de sécurité critique de Git à été annoncée aujourd'hui, affectant toutes les versions du client officiel Git et tous les logiciels associés qui interagissent avec les dépôts Git, y compris GitHub pour Windows et pour Mac.

 

La vulnérabilité concerne Git, Git compatible avec les clients qui accèdent aux dépôts Git dans un système de fichiers sensible à la casse ou au cas de normalisation.

Git clients fonctionnant sur OS X (HFS +) ou n'importe quelle version de Microsoft Windows (NTFS, FAT) sont exploitables par cette vulnérabilité.

 

Un attaquant peut concevoir un arbre Git malveillant qui va provoquer Git pour écraser son propre fichier / config de .git lors du clonage ou le contrôle sur un référentiel, conduisant à l'exécution de commandes arbitraires sur la machine du client. Git clients fonctionnant sur OS X (HFS +) ou n'importe quelle version de Microsoft Windows (NTFS, FAT) sont exploitables par cette vulnérabilité.

 

Git clients fonctionnant sur OS X (HFS +) ou n'importe quelle version de Microsoft Windows (NTFS, FAT) sont exploitables par cette vulnérabilité.

Les clients Linux ne sont pas affectés si elles s'exécutent dans un système de fichiers sensible à la casse.

 

Nous encourageons fortement tous les utilisateurs de GitHub et GitHub Entreprise de mettre à jour leurs clients Git dès que possible, et d'être particulièrement prudent lors du clonage ou d'accéder aux dépôts Git hébergés sur des hôtes dangereux ou non-fiables.

 

Référentiels hébergés sur github.com ne peuvent pas contenir tous les arbres malveillants qui déclenchent la vulnérabilité parce que nous vérifions maintenant et bloquons ces arbres.
Nous avons également réalisé une analyse automatisée de tout le contenu existant sur github.com à chercher du contenu malveillant qui pourraient avoir été poussé à notre site avant que cette vulnérabilité est été découverte.

 

Ce travail est une extension des contrôles de qualité des données, nous avons toujours effectuées sur les dépôts poussés à nos serveurs afin de protéger nos utilisateurs contre les données de Git mal formés ou malveillantes.

Des versions à jour de GitHub pour Windows et pour Mac sont disponibles en téléchargement immédiat, et les deux contiennent le correctif de sécurité sur l'application de bureau lui-même et sur la version embarquée de la ligne de commande cliente Git.

 

En outre, les versions mises à jour suivantes de Git corrigent cette vulnérabilité : l'équipe de base Git a annoncé des versions de maintenance pour toutes les versions actuelles de Git (v1.8.5.6, v1.9.5, v2.0.5, v2.1.4 et v2.2.1).

 

Git pour Windows (également connu sous le nom msysgit) a publié la version de maintenance 1.9.5.

 

Les deux bibliothèques de Git majeures, libgit2 et JGit, ont été publié, des versions de maintenance avec le correctif.

 

Les logiciels tiers utilisant ces bibliothèques sont fortement encouragés à mettre à jour. Plus de détails sur la vulnérabilité peuvent être trouvés dans la liste des annonces officielle de Git postale et sur le blog git-blâme.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

×
×
  • Créer...