Un bogue de sécurité dans le client officiel Git pour Windows et Mac peut permettre l'exécution de commandes non autorisées sur les systèmes des utilisateurs. Heureusement, un correctif est déjà disponible et tous les utilisateurs doivent se mettre à jour dès que possible afin d'éviter d'éventuelles attaques.
Ce bogue récent constitue une menace si grave car il donne accès aux référentiels Git et il affecte toutes les versions du client Git ainsi que tous les logiciels compatibles. Une attention particulière doit être accordée lors du clonage ou de l'accès aux référentiels Git hébergés sur des emplacements douteux, car c'est là que le bogue de sécurité peut se cacher.
Les systèmes d'exploitation avec des systèmes de fichiers insensibles à la casse sont ceux qui sont affectés. Le code malveillant fonctionne en obligeant Git à écraser son propre fichier .git/config lorsque le système clone ou extrait un référentiel.
« La vulnérabilité concerne les clients Git et compatibles Git qui accèdent aux référentiels Git dans un système de fichiers insensible à la casse ou normalisant la casse. Un attaquant peut créer une arborescence Git malveillante qui obligera Git à écraser la sienne
.git/configlors du clonage ou de l'extraction d'un référentiel, entraînant l'exécution de commandes arbitraires sur la machine cliente. Les clients Git fonctionnant sous OS X (HFS+) ou toute version de Microsoft Windows (NTFS, FAT) sont exploitables via cette vulnérabilité. Les clients Linux ne sont pas affectés s'ils s'exécutent dans un système de fichiers sensible à la casse. », informe le communiqué officiel.
La bonne nouvelle est que github.com est sûr car les administrateurs vérifient toujours les arborescences dans le code source lorsqu'elles sont ajoutées. De plus, tout le contenu du référentiel a été revérifié afin d'éliminer tout bogue éventuel qui aurait pu s'y introduire. Cependant, méfiez-vous des emplacements d'hébergement douteux car la vérification de sécurité y est défectueuse.
Nous avons également effectué une analyse automatisée de tout le contenu existant sur
github.compour rechercher du contenu malveillant qui aurait pu être poussé sur notre site avant que cette vulnérabilité ne soit découverte. Ce travail est une extension des contrôles de qualité des données que nous avons toujours effectués sur les référentiels poussés vers nos serveurs pour protéger nos utilisateurs contre les données Git malformées ou malveillantes.
Les versions mises à jour de GitHub sont maintenant disponibles en téléchargement pour les fenêtres et Mac. Tous les utilisateurs sont invités à mettre à jour afin de protéger leurs systèmes.
LIRE AUSSI: Windows XP est désormais une cible très facile pour les pirates, la mise à jour de Windows 10 est obligatoire
![Fenêtre contextuelle de sécurité Windows dans Windows 10 [GUIDE RAPIDE]](/f/2b9d1c4e894c2d1c676d190687c9b38b.webp?width=300&height=460)