Sécurité

Git : découverte de deux vulnérabilités permettant l'exécution de code à distance

Deux nouvelles failles de sécurité ont été découvertes pour Git. Les utilisateurs sont invités à mettre à jour leur installation locale de Git, plus particulièrement s'il font usage de l'utilitaire git archive, travaillent sur des répertoires en lesquels ils n'ont pas confiance.

Une autre faille concerne quant à elle les utilisateurs de Git GUI sous Windows.



Le projet Git a déployé ce jour une nouvelle version de la solution pour adresser ces nouvelles vulnérabilités, référencées dans le CVE (Common Vulnerabilities and Exposures) CVE-2022-41903 et CVE-2022-23521, qui affectent la version 2.39 du logiciel libre (soit la dernière en date) et celles qui la précèdent.

La faille du client Git GUI pour Windows, est quant à elle référencée sous la CVE-2022-41953.

Les deux premières vulnérabilités affectent respectivement le mécanisme de formatage de Git et son parser .gitattributes. Alors que la première permet l'écriture arbitraire dans le code, la seconde permet la lecture. Combinées, celles-ci permettraient l'exécution de code à distance.

Découvertes dans le cadre d'un audit mené sur les sources de Git, les fix résultants ont été développés par des ingénieurs de l'équipe recherche en sécurité de GitLab, des ingénieurs de GitHub et des membres de la mailing list portant sur la sécurité de Git.

De son côté, la faille de Git pour Windows porte une consultation du chemin du répertoire en cours d'utilisation, ce qui peut également permettre l'exécution arbitraire de code lorsque des répertoires sont clonés avec Git GUI.

Le moyen le plus sûr de pallier à ces vulnérabilités est d'upgrader sa configuration vers la version 2.39.1 de Git. Si vous n'êtes pas en mesure de le faire rapidement, vous pouvez réduire les risques de la manière suivante :

  • Éviter d'utiliser le mécanisme --format et git archive
  • Si vous exposez git archive via git daemon, envisagez de le désactiver si vous travaillez sur des repositories sensibles en exécutant la commande git config --global daemon.uploadArch false
  • Éviter d'utiliser Git GUI sous Windows lorsque vous clonez des repos

À lire aussi sur Les Joies du Code :

À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Événements

Hackathon grandeur nature : codez au Parc des Princes, 150 000 dollars à la clé

Participez au hackathon Hacking Paris de Chiliz, du 11 au 13 juillet 2025 au Parc des Princes

Hackathon Hacking Paris 2025 — Croyez-moi, des hackathons, j’en ai vu passer. Mais DANS UN STADE et qui plus est au Parc des Princes, permettez-moi de vous le dire : c’est du jamais vu.

# En partenariat avec Chiliz

À vos agendas : du 11 au 13 juillet 2025, Chiliz, qui propose aux fans de sport et d'e-sport de se rapprocher de leurs clubs et athlètes préférés, organise un hackathon grandeur nature dans l’antre historique du PSG.

Hacking Paris est un événement 100% gratuit, pensé pour les développeurs et ceux qui s’intéressent à la blockchain, avec pour objectif de donner vie à vos projets pour faire évoluer l’écosystème.

Je participe au hackathon 🤩

150 000 dollars à la clé

Vous avez bien lu. CENT. CINQUANTE. MILLE. DOLLARS.

Dans ce hackathon, les meilleures idées ne repartiront pas juste avec les félicitations du jury et un .zip de leur projet. 👀

150 000 dollars sont mis en jeu par Chiliz pour récompenser les projets gagnants, répartis sur 5 grandes thématiques :

  • Utilisation des fan tokens : 50 000 $
  • Contenus créés par les fans et plateformes de monétisation : 24 000 $
  • Outils ou services DeFi (finance décentralisée) : 22 000 $
  • Agents ou outils basés sur l’IA pour le sport : 22 000 $
  • Fonctionnalités et connectivité du portefeuille Socios : 22 000 $
  • Récompenses spéciales : 10 000 $

Je m’inscris à Hacking Paris ⚽️

Construisez le futur de l’engagement sportif

Hacking Paris invite les développeurs à imaginer des applications décentralisées capables de réinventer la relation entre les clubs et leurs supporters. 🙌

Fan tokens, gouvernance décentralisée, NFTs, expériences immersives dans les stades… Cet événement XXL sera l’occasion de monter vos projets, et cela durant les trois jours du hackathon.

Le stade du Parc des Princes, où prendra lieu le hackathon Hacking Paris

Pas besoin d’être un expert de la Chiliz Chain pour participer : les ressources et la documentation nécessaires sont fournies — accessibles depuis le site de l’événement —, et des mentors seront présents sur place pour vous accompagner, avec une première journée de workshops pour vous permettre de prendre en main les outils et affiner votre projet.

Dès le début de soirée de cette première journée (vendredi 11 juillet) : les choses sérieuses commencent. 🔥

Vous serez alors libres de vous lancer sur le développement des solutions que vous aurez imaginées, qui devrait vous tenir en haleine jusqu’au dimanche midi, où débuteront les démos des projets.

Des invités de renom devraient également prendre part à l’événement (line-up à venir), de quoi nourrir l’effervescence qui régnera au Parc des Princes pendant ces trois jours d’innovation.

Pourquoi participer ?

En plus des prix exceptionnels, Hacking Paris permet de se connecter à une communauté Web3 internationale, d’échanger avec des experts du secteur et d’explorer des opportunités concrètes dans l’écosystème Chiliz, au-delà du hackathon.

Les projets retenus pourront quant à eux bénéficier d’un accompagnement après l’événement, et gagner en visibilité auprès d’acteurs clés du sport et de la tech.

Je m’inscris dès maintenant pour Hacking Paris — du 11 au 13 juillet au Parc des Princes (GRATUIT) 🏟️