Mettez à jour Git, GitLab et GitHub pour vous protéger de ces deux failles critiques !
Les utilisateurs de Git doivent passer aux stands pour effectuer une mise à jour afin d'être protégé contre deux vulnérabilités critiques qu'un attaquant pourrait exploiter pour exécuter du code à distance sur la machine affectée. Faisons le point.
Ces deux failles de sécurité sont associées aux références CVE-2022-23521 et CVE-2022-41903, et force est de constater que de nombreuses versions de Git sont affectées : v2.30.6, v2.31.5, v2.32.4, v2.33.5, v2.34.5, v2.35.5, v2.36.3, v2.37.4, v2.38.2, et v2.39.0.
Je suis concerné, que dois-je faire ? Mettre à jour vers une version patchée, à savoir une version de cette liste : 2.30.7, v2.31.6, v2.32.5, v2.33.6, v2.34.6, v2.35.6, v2.36.4, v2.37.5, v2.38.3, et v2.39.1. Ces nouvelles versions sont disponibles depuis le mardi 17 janvier 2023, pour différents systèmes (Windows, Linux...).
La vulnérabilité CVE-2022-23521 semble la plus grave des deux : "Le problème de sécurité le plus grave découvert permet à un attaquant de déclencher un exploit de type "heap-based memory corruption" pendant les opérations de type clone et pull, ce qui peut entraîner l'exécution de code", d'après les chercheurs en sécurité, Markus Vervier et Eric Sesterhenn, de l'entreprise X41 D-Sec qui ont fait la découverte de ces vulnérabilités (voir ce rapport complet). Par ailleurs, ces vulnérabilités pourraient permettre de générer un déni de service sur la machine.
Si vous ne pouvez pas effectuer la mise à jour de Git dans l'immédiat, sachez qu'il n'y a pas de solution de contournement pour la faille CVE-2022-23521. Pour la seconde, à savoir la CVE-2022-41903, la seule solution de contournement proposée par Git est de désactiver l'action "git archive" sur les dépôts non approuvés.
Des mises à jour pour GitLab et GitHub
En réaction à ce bulletin de sécurité de Git, l'éditeur GitLab a mis en ligne des nouvelles versions de ses clients ( 15.7.5, 15.6.6, et 15.5.9), que ce soit pour la Community Edition (CE) ou l'Enterprise Edition (EE). Enfin, du côté de GitHub il y a également des mises à jour disponibles, notamment une nouvelle version de GitHub Desktop qui embarque Git v2.35.6.
Il est à noter qu'une troisième vulnérabilité, associée à la référence CVE-2022-41953 affecte particulièrement l'application Git GUI pour Windows. Pour le moment, le correctif n'est pas disponible pour cet outil (mais il sera corrigé dans une version v2.39.1) !
