Git victime d’une vulnérabilité sous Windows et OS X
qui intrigue la communauté par sa simplicité
« Développeurs, si vous êtes adepte du célèbre logiciel de gestion de versions (VCS) Git, vous êtes invité à mettre à jour votre client Windows ou Mac ». C’est le message émis par l’équipe en charge de Git et du réseau social qui en découle GitHub.
À l’origine de ce signal d’alerte, une vulnérabilité découverte le 18 décembre et qui touche toutes les versions du client Git et les logiciels tiers qui interagissent avec les dépôts Git, les logiciels GitHub for Windows et GitHub for Mac sont eux aussi touchés.
Même si elle n’est pas très importante, la faille qui répond au nom de code CVE-2014-9390 est jugée suffisamment sérieuse pour que l’équipe ait publié un correctif. Cette faille qui rappelle d’autres mauvais souvenirs pour la communauté IT ne frappe pas par sa dangerosité, mais par sa simplicité.
En effet, à l’origine de cette faille, le recours exclusif à des systèmes d’exploitation insensibles à la casse sous Windows (NTFS et FAT) et OS X (HFS+). Ces derniers ne faisant pas de différence entre un fichier .git/config qui sert de configuration au VCS et un autre de même nom, mais comportant une majuscule (.Git/config ou encore .giT/config).
Ainsi, un attaquant peut créer un fichier malicieux nommé .Git/config sous un système de fichiers sensible à la casse, puis se substituer au fichier de configuration sous l’un des systèmes vulnérables, après un checkout de la victime. Cela laisse la porte ouverte à toutes sortes de manipulation.
L’équipe en charge du VCS rappelle que les dépôts hébergés sur github.com ne sont pas concernés par cette vulnérabilité, car une telle manipulation du fichier de configuration est désormais bloquée lors d’un push de l’attaquant, les utilisateurs Linux qui utilisent des systèmes sensibles à la casse sont eux aussi exclus, en revanche les librairies libgit2 et JGit sont vulnérables.
Au final, plusieurs correctifs de maintenance ont été publiés pour les principales versions de Git (v1.8.5.6, v1.9.5, v2.0.5, v2.1.4 et v2.2.1), pour le client Git for Windows, les logiciels GitHub for Windows et Mac ainsi que les librairies concernées (libgit2 et JGit).
Source : Annonce officielle
Et vous ?
Que pensez-vous de cette vulnérabilité ?
Pensez-vous que cette vulnérabilité ouvre le débat sur la normalisation de la sensibilité à la casse des systèmes de fichiers ?
Partager