tag:linuxfr.org,2005:/tags/cve-2014-9390/publicLinuxFr.org : les contenus étiquetés avec « cve-2014-9390 »2014-12-28T00:20:56+01:00/favicon.pngtag:linuxfr.org,2005:News/359782014-12-19T17:48:37+01:002014-12-20T12:50:55+01:00Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Une vulnérabilité (<a href="https://security-tracker.debian.org/tracker/CVE-2014-9390">CVE-2014-9390</a>) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.</p>
<p>Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les <em>push</em> exploitant cette faille.</p>
<p><strong>NdM :</strong> Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :</p>
<ul>
<li>la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;</li>
<li>l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;</li>
<li>la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la <a href="http://selenic.com/hg/rev/885bd7c5c7e3">correction chez Mercurial</a>, qui a permis la correction côté Git).</li>
</ul></div><ul><li>lien nᵒ 1 : <a title="https://github.com/blog/1938-vulnerability-announced-update-your-git-clients" hreflang="en" href="https://linuxfr.org/redirect/92610">Annonce de Github</a></li><li>lien nᵒ 2 : <a title="http://article.gmane.org/gmane.linux.kernel/1853266" hreflang="en" href="https://linuxfr.org/redirect/92611">Annonce du correctif Git</a></li><li>lien nᵒ 3 : <a title="http://mercurial.selenic.com/wiki/WhatsNew#Mercurial_3.2.3_.282014-12-18.29" hreflang="en" href="https://linuxfr.org/redirect/92615">Annonce du correctif Mercurial</a></li><li>lien nᵒ 4 : <a title="https://security-tracker.debian.org/tracker/CVE-2014-9390" hreflang="en" href="https://linuxfr.org/redirect/92616">Référence CVE-2014-9390</a></li></ul><div><p>Cette vulnérabilité concerne le fichier <code>.git/config</code> qui définit les paramètres du dépôt de travail[1]. Elle fonctionne sur les systèmes de fichiers non sensibles à la casse, comme les systèmes de fichiers de Microsoft (FAT ou NTFS) ou celui d'Apple (HFS+).</p>
<p>Son fonctionnement est très simple. Sur ces systèmes de fichiers, si on clone un dépôt Git contenant un fichier <code>.Git/config</code>, ce fichier viendra alors écraser le fichier <code>.git/config</code>. À partir de là, on peut imaginer une pléthore d'exploitation (ce travail est laissé au lecteur).</p>
<p>Cette faille soulève la question de la gestion des divers systèmes de fichiers qui gèrent chacun différemment les noms de fichiers. L'annonce du correctif indique qu'en plus du simple cas de la casse, certains systèmes de fichiers peuvent avoir d'autres cas de collision, comme par exemple <code>git~1/config</code> qui sous Windows se verra traité comme <code>.git/config</code>.</p>
<p>La solution pour une interopérabilité maximale est de se réduire au plus grand sous-ensemble commun, et c'est désormais ce que fait Git par défaut (comportement paramétrable cependant).</p>
<p>[1] Par « dépôt de travail » on entend un dépôt qui n'est pas <em>bare</em> (non créé avec <code>git init --bare</code>), et donc dans lequel on peut effectivement travailler.</p></div><div><a href="https://linuxfr.org/news/vulnerabilite-dans-git-et-mercurial-sur-certains-systemes-de-fichiers-fat-ntfs-hfs-etc.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/104273/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/vulnerabilite-dans-git-et-mercurial-sur-certains-systemes-de-fichiers-fat-ntfs-hfs-etc#comments">ouvrir dans le navigateur</a>
</p>
erdnaxeliBenoît SibaudBruno Michelhttps://linuxfr.org/nodes/104273/comments.atom