Comme chaque semaine, le CERT-XMCO vous propose une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la découverte d’une vulnérabilité au sein du gestionnaire de version Git.
Bulletin CXA-2016-0857
17 mars 2016
Prise de contrôle d’un système à distance via deux vulnérabilités au sein de Git
| Criticité Haute |
Dommage(s) Accès au système Déni de service |
| Plateforme(s) Toutes |
Exploitation Distante |
| Produit(s) concerné(s) Git |
|
| Description Deux vulnérabilités ont été découvertes au sein du logiciel Git. Leur exploitation permet à un attaquant de provoquer un déni de service, voire de prendre le contrôle d’un système à distance. Les failles de sécurité référencées CVE-2016-2315 et CVE-2016-2324 proviennent d’erreurs en mémoire de type « dépassement de tampon » et « dépassement d’entier ». Un attaquant est en mesure de prendre le contrôle du système d’un développeur ou d’un administrateur à distance en poussant sa victime à exécuter des commandes « push » ou « pull » depuis un dépôt ayant un nom très long ou un grand nombre de dossiers imbriqués. |
|
| Vulnérable(s) * Git < 2.7.4 |
|
| Recommandation Aucun correctif n’est actuellement disponible. Cependant, des correctifs sont en cours de développement : https://github.com/git/git/commit/34fa79a6cde56d6d428ab0d3160cb094ebad3305 https://github.com/git/git/commit/9831e92bfa833ee9c0ce464bbc2f941ae6c2698d |
|
| Référence(s) http://seclists.org/oss-sec/2016/q1/645 |
|
| Référence(s) CVE | |
| Référence CERT-XMCO CXA-2016-0857 |
|
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article