Deux nouvelles failles de sécurité ont été découvertes pour Git. Les utilisateurs sont invités à mettre à jour leur installation locale de Git, plus particulièrement s'il font usage de l'utilitaire git archive, travaillent sur des répertoires en lesquels ils n'ont pas confiance.
Une autre faille concerne quant à elle les utilisateurs de Git GUI sous Windows.
Le projet Git a déployé ce jour une nouvelle version de la solution pour adresser ces nouvelles vulnérabilités, référencées dans le CVE (Common Vulnerabilities and Exposures) CVE-2022-41903 et CVE-2022-23521, qui affectent la version 2.39 du logiciel libre (soit la dernière en date) et celles qui la précèdent.
La faille du client Git GUI pour Windows, est quant à elle référencée sous la CVE-2022-41953.
Les deux premières vulnérabilités affectent respectivement le mécanisme de formatage de Git et son parser .gitattributes. Alors que la première permet l'écriture arbitraire dans le code, la seconde permet la lecture. Combinées, celles-ci permettraient l'exécution de code à distance.
Découvertes dans le cadre d'un audit mené sur les sources de Git, les fix résultants ont été développés par des ingénieurs de l'équipe recherche en sécurité de GitLab, des ingénieurs de GitHub et des membres de la mailing list portant sur la sécurité de Git.
De son côté, la faille de Git pour Windows porte une consultation du chemin du répertoire en cours d'utilisation, ce qui peut également permettre l'exécution arbitraire de code lorsque des répertoires sont clonés avec Git GUI.
Le moyen le plus sûr de pallier à ces vulnérabilités est d'upgrader sa configuration vers la version 2.39.1 de Git. Si vous n'êtes pas en mesure de le faire rapidement, vous pouvez réduire les risques de la manière suivante :
Éviter d'utiliser le mécanisme --format et git archive
Si vous exposez git archive via git daemon, envisagez de le désactiver si vous travaillez sur des repositories sensibles en exécutant la commande git config --global daemon.uploadArch false
Éviter d'utiliser Git GUI sous Windows lorsque vous clonez des repos
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Le J c’est le S — Être développeur, c’est passer des heures devant son écran à coder (et à débuguer 🥲), à éplucher des repos GitHub et à enchaîner les articles tech pour essayer de suivre le rythme effréné des nouveautés dans son domaine.
Mais soyons honnêtes : glaner des infos ici et là, c’est bien, les entendre directement des meilleurs experts et pouvoir échanger avec eux, c’est encore mieux !
🔥 Les dernières évolutions de JavaScript et de son écosystème, expliquées par celles et ceux qui les façonnent.
🎤 Un line-up d’intervenants d’exception, qu’on a rarement l’occasion de voir en France.
🙋♂️ L’occasion unique de poser vos questions en direct à des ingénieurs et créateurs de renom.
🤝 1500 développeurs réunis en un seul lieu pour networker, partager leurs idées et créer des opportunités professionnelles.
Le 3 avril 2025, prenez part à l’expérience dotJS au théâtre des Folies Bergère à Paris pour propulser votre expertise JavaScript et votre carrière ! 🚀
Parce que JavaScript, ce n’est pas juste gérer des classes CSS dynamiques ou ajouter des listeners à tout-va (je vous vois 👀), dotJS est l’occasion idéale pour garder une longueur d’avance sur les évolutions du langage, anticiper les transformations majeures liées à l’IA et capter les tendances qui façonneront votre métier demain.
Vous êtes développeur initié de JavaScript ? dotJS est là pour repousser vos limites, stimuler votre curiosité sur l’écosystème de ce langage — qui ne laisse aucun développeur insensible — et vous donner l’opportunité d’échanger avec 1500 autres passionnés du web !
Comme vous le savez, j’ai eu le plaisir de participer en octobre dernier à dotAI, la conférence IA de dotConferences, qui est aussi l’organisateur de dotJS.
À l’image de dotAI, dotJS proposera une alternance entre différents formats de conférences. Ayant assisté à dotAI, j’avais d’ailleurs adoré son rythme et sa construction, on peut s’attendre à une organisation tout aussi bien orchestrée pour cette conférence à venir.
Vous y trouverez donc :
Des talks condensés (20 minutes max) construits pour maintenir votre attention, accompagnés d’une petite session de questions/réponses avec le public
Des lightning talks énergisants de 10 minutes chacun après le déjeuner
Un networking game géant pour briser la glace, rencontrer d’autres passionnés et élargir votre réseau dans une ambiance conviviale
Cerise sur le gâteau, la conférence dotJS, qui rayonne déjà auprès de la communauté JS, célèbrera à l’occasion de cette nouvelle édition son 10ème anniversaire ! 🥳
Pour cette nouvelle itération de la conférence JavaScript, un panel de speakers de renom prendra place sur la scène des Folies Bergère.
Parmi les intervenants confirmés, voici un petit aperçu des conférences qui ont d’ores et déjà attisé ma curiosité :
Sarah Drasner, directrice principale de l’ingénierie Core Web, Android, iOS et infrastructures multiplateformes chez Google
Le développeur JS canadien Wes Bos, figure incontournable sur les réseaux, explorera comment exécuter des modèles IA avec JavaScript
Kyle Simpson, auteur des livres à succès "You Don’t Know JS", prévoit quant à lui d’évoquer le passage au Web 2.5
Un lightning talk de Vadim Smirnov, qui montrera comment reproduire les graphiques hypnotisants de ce bon vieux Windows Media Player à l’aide de l’API Web MIDI (nostalgie garantie ☺️)
Et enfin, vous pourrez également assister à une conférence de Ryan Dahl, qui n’est autre que le créateur de Node.js et Deno ! Si l’on en croit son récent post sur X, il pourrait d’ailleurs profiter de la conférence dotJS 2025 pour faire une annonce en exclu. 🫣
I'm gonna announce some new stuff in Paris on April 3rd (hopefully 😬) https://t.co/HG5oq83kZj
dotJS 2025 vous offrira un tour d’horizon complet du JavaScript moderne, ponctué de conférences pointues qui vous aideront à affûter vos compétences, repousser les frontières du langage et comprendre comment l’IA est en train de redéfinir le métier de développeur.
Au passage, je serai aussi sur place, alors n’hésitez pas à me faire signe sur mes réseaux si vous avez envie qu'on partage un café ensemble ! 😉
Plus on est de fous, plus on jQuery (oh l’affront) ! Ne venez pas seul(e) à dotJS : faites-en un événement d’équipe !
C’est le moment de convaincre votre chef d’offrir à votre dream team une immersion unique dans l’écosystème JavaScript à même de booster votre vision et vos compétences.
Au-delà des conférences de haut niveau, dotJS est une opportunité idéale pour renforcer la cohésion d’équipe dans un cadre stimulant et inspirant.
🎁 En plus, grâce à votre humble serviteur, vous pouvez même profiter d’une réduction de 15%sur le tarif regular des billets avec le code JOIESDUCODE15, que demander de plus ? 😇
![Un meme sur JavaScript avec Leonardo DiCaprio qui rit : Les gens qui apprennent à coder en JavaScript : 'je vais utiliser array.sort() pour trier cette liste de nombres.' JavaScript : [1, 100000, 21, 30, 4]](https://lesjoiesducode.fr/content/043/dicaprio_js.jpg)
