CERTFR-2018-ALE-011
Vulnerability from certfr_alerte

Le 5 octobre 2018, le projet Git a publié un correctif de sécurité concernant le client Git. Celui-ci concerne la vulnérabilité CVE-2018-17456 qui permet à un attaquant d'exécuter du code arbitraire à distance.

La cinématique d'exploitation de cette vulnérabilité est la suivante :

  • L'attaquant crée un fichier ".gitmodules" malveillant dans un projet
  • Lors de la réplication d'un projet via la commande "git clone --recurse-modules", le client Git analyse le fichier ".gitmodules"
  • Si le champ "URL" est une chaîne de caractère commençant par un tiret ("-"), le sous-processus "git clone" exécutera la chaîne comme une option

Cela conduit à une exécution de code arbitraire à distance sur la machine d'un utilisateur ayant lancé une simple commande "git clone". La facilité d'exploitation de cette vulnérabilité constitue un risque majeur.

Il est par ailleurs possible d'avoir un comportement non-voulu (chemin brisé) en définissant le champ "PATH" comme une chaîne de caractère commençant par un tiret ("-"). Ce champ ne semble pas être affecté par la vulnérabilité au sens de l'exécution de code mais peut provoquer des dysfonctionnements lors du clonage de projets.

Solution

Le CERT-FR recommande de mettre à jour son client Git sans attendre.

None
Impacted products
Vendor Product Description
N/A N/A Git de la branche 2.15 jusqu'à 2.15.3 (exclue)
N/A N/A Git de la branche 2.18 jusqu'à 2.18.1 (exclue)
N/A N/A Git de la branche 2.16 jusqu'à 2.16.5 (exclue)
N/A N/A Git de la branche 2.19 jusqu'à 2.19.1 (exclue)
N/A N/A Client tierces (Github, Atom...) : voir les sites des développeurs
N/A N/A Git branche antérieure à 2.14.5
N/A N/A Git de la branche 2.17 jusqu'à 2.17.2 (exclue)
References
Soumission Git a124133e None vendor-advisory
Soumission Git 1a7fd1fb None vendor-advisory
Annonce Git du 05 octobre 2018 None vendor-advisory

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Git de la branche 2.15 jusqu\u0027\u00e0 2.15.3 (exclue)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Git de la branche 2.18 jusqu\u0027\u00e0 2.18.1 (exclue)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Git de la branche 2.16 jusqu\u0027\u00e0 2.16.5 (exclue)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Git de la branche 2.19 jusqu\u0027\u00e0 2.19.1 (exclue)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Client tierces (Github, Atom...) : voir les sites des d\u00e9veloppeurs",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Git branche ant\u00e9rieure \u00e0 2.14.5",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Git de la branche 2.17 jusqu\u0027\u00e0 2.17.2 (exclue)",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2018-10-12",
  "content": "## Solution\n\nLe CERT-FR recommande de mettre \u00e0 jour son client Git sans attendre.\n",
  "cves": [
    {
      "name": "CVE-2018-17456",
      "url": "https://www.cve.org/CVERecord?id=CVE-2018-17456"
    }
  ],
  "initial_release_date": "2018-10-08T00:00:00",
  "last_revision_date": "2018-10-12T00:00:00",
  "links": [],
  "reference": "CERTFR-2018-ALE-011",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2018-10-08T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2018-10-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 5 octobre 2018, le projet Git a publi\u00e9 un correctif de s\u00e9curit\u00e9\nconcernant le client Git. Celui-ci concerne la vuln\u00e9rabilit\u00e9\nCVE-2018-17456 qui permet \u00e0 un attaquant d\u0027ex\u00e9cuter du code arbitraire \u00e0\ndistance.\n\nLa cin\u00e9matique d\u0027exploitation de cette vuln\u00e9rabilit\u00e9 est la suivante :\n\n-   L\u0027attaquant cr\u00e9e un fichier \".gitmodules\" malveillant dans un projet\n-   Lors de la r\u00e9plication d\u0027un projet via la commande \"git clone\n    --recurse-modules\", le client Git analyse le fichier \".gitmodules\"\n-   Si le champ \"URL\" est une cha\u00eene de caract\u00e8re commen\u00e7ant par un\n    tiret (\"-\"), le sous-processus \"git clone\" ex\u00e9cutera la cha\u00eene comme\n    une option\n\nCela conduit \u00e0 une ex\u00e9cution de code arbitraire \u00e0 distance sur la\nmachine d\u0027un utilisateur ayant lanc\u00e9 une simple commande \"git clone\". La\nfacilit\u00e9 d\u0027exploitation de cette vuln\u00e9rabilit\u00e9 constitue un risque\nmajeur.\n\nIl est par ailleurs possible d\u0027avoir un comportement non-voulu (chemin\nbris\u00e9) en d\u00e9finissant le champ \"PATH\" comme une cha\u00eene de caract\u00e8re\ncommen\u00e7ant par un tiret (\"-\"). Ce champ ne semble pas \u00eatre affect\u00e9 par\nla vuln\u00e9rabilit\u00e9 au sens de l\u0027ex\u00e9cution de code mais peut provoquer des\ndysfonctionnements lors du clonage de projets.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans le client Git",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Soumission Git a124133e",
      "url": "https://github.com/git/git/commit/a124133e1e6ab5c7a9fef6d0e6bcb084e3455b46"
    },
    {
      "published_at": null,
      "title": "Soumission Git 1a7fd1fb",
      "url": "https://github.com/git/git/commit/1a7fd1fb2998002da6e9ff2ee46e1bdd25ee8404"
    },
    {
      "published_at": null,
      "title": "Annonce Git du 05 octobre 2018",
      "url": "https://marc.info/?l=git\u0026m=153875888916397\u0026w=2"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.