Multiples vulnérabilités dans Git

Gestion du document

Référence	CERTFR-2018-AVI-263
Titre	Multiples vulnérabilités dans Git
Date de la première version	30 mai 2018
Date de la dernière version	30 mai 2018
Source(s)	Billet de blogue Microsoft du 29 mai 2018 Annonce Git du 29 mai 2018 Annonce Git for Windows du 29 mai 2018
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance
Atteinte à la confidentialité des données

Systèmes affectés

Git versions antérieures à 2.13.7
Git versions 2.14.x antérieures à 2.14.4
Git versions 2.15.x antérieures à 2.15.2
Git versions 2.16.x antérieures à 2.16.4
Git versions 2.17.x antérieures à 2.17.1

Résumé

De multiples vulnérabilités ont été découvertes dans Git . Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Billet de blogue Microsoft du 29 mai 2018
https://blogs.msdn.microsoft.com/devops/2018/05/29/announcing-the-may-2018-git-security-vulnerability/
Annonce Git du 29 mai 2018
https://marc.info/?l=git&m=152761328506724&w=2
Annonce Git for Windows du 29 mai 2018
https://github.com/git-for-windows/git/releases/tag/v2.17.1.windows.2
Référence CVE CVE-2018-11235
https://www.cve.org/CVERecord?id=CVE-2018-11235
Référence CVE CVE-2018-11233
https://www.cve.org/CVERecord?id=CVE-2018-11233

Gestion détaillée du document

le 30 mai 2018: Ajout de la CVE CVE-2018-11233

le 30 mai 2018: Ajout de précisions sur les systèmes affectés

le 30 mai 2018: Version initiale

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Git