Alerte sécurité – Il est fortement recommandé aux développeurs utilisant un logiciel client Git open source sous Mac OS X et Windows d’appliquer la dernière mise à jour de sécurité corrigeant une faille critique.
Une faille de sécurité majeure se trouve dans plusieurs clients Git, qui permet à un attaquant de détourner la machine d’un utilisateur. La vulnérabilité critique de Git touche toutes les versions du client officiel Git et ainsi que tous les logiciels connexes qui interagissent avec les dépôts Git, y compris GitHub pour Windows et Mac OS X, selon un avis publié jeudi GitHub.
L’exploitation de cette faille permet à un attaquant d’exécuter du code malveillant à distance sur l’ordinateur d’un client lorsque le logiciel client accède aux dépôts Git. L’équipe d’ingénierie GitHub a donné une explication détaillée sur la façon dont les attaquants pourraient exploiter la vulnérabilité :
“Un attaquant peut concevoir un arbre Git malveillant qui va provoquer l’écrasement du fichier de config .git d’origine lors du clonage ou d’un contrôle sur un référentiel, conduisant à l’exécution de commandes arbitraires sur la machine du client. Les clients Git fonctionnant sur Mac OS X ou n’importe quelle version de Microsoft Windows sont touchés par cette vulnérabilité. Les clients Linux ne sont pas affectés si ils sont exécutés dans un système de fichiers sensible à la casse.”
Toutefois, aucune information n’a pas diffusée afin de savoir si la vulnérabilité a déjà été exploitée ou non par des pirates. Une chose est sûre, la mis à jour doit être appliquée aussi vite que possible.
Les développeurs qui utilisent le client de GitHub pour Windows ou Mac peuvent télécharger Git version 2.2.1, une version de maintenance qui inclut un correctif de sécurité pour la vulnérabilité critique.
A noter que les dépôts github.com sont protégés. Mais, il ne est pas nécessaire que d’autres sites d’hébergement de répertoires fournissent les mêmes mesures de sécurité, de sorte que tous les utilisateurs Git sont encouragés à mettre à jour immédiatement leur logiciel client.
La version actualisée de GitHub pour Windows est disponible ici et GitHub pour Mac ici.