[VULN][GIT] Prise de contrôle d’un système à distance via deux vulnérabilités au sein de Git (CXA-2016-0857)

[VULN][GIT] Prise de contrôle d’un système à distance via deux vulnérabilités au sein de Git (CXA-2016-0857)

Comme chaque semaine, le CERT-XMCO vous propose une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la découverte d’une vulnérabilité au sein du gestionnaire de version Git.

17 mars 2016 

Prise de contrôle d’un système à distance via deux vulnérabilités au sein de Git

Criticité
Haute
Dommage(s)
Accès au système 
Déni de service 
Plateforme(s)
Toutes 
Exploitation
Distante
Produit(s) concerné(s)
Git 
Description
Deux vulnérabilités ont été découvertes au sein du logiciel Git. Leur exploitation permet à un attaquant de provoquer un déni de service, voire de prendre le contrôle d’un système à distance. Les failles de sécurité référencées CVE-2016-2315 et CVE-2016-2324 proviennent d’erreurs en mémoire de type « dépassement de tampon » et « dépassement d’entier ». Un attaquant est en mesure de prendre le contrôle du système d’un développeur ou d’un administrateur à distance en poussant sa victime à exécuter des commandes « push » ou « pull » depuis un dépôt ayant un nom très long ou un grand nombre de dossiers imbriqués.
Vulnérable(s)
* Git < 2.7.4
Recommandation
Aucun correctif n’est actuellement disponible. Cependant, des correctifs sont en cours de développement : https://github.com/git/git/commit/34fa79a6cde56d6d428ab0d3160cb094ebad3305 
https://github.com/git/git/commit/9831e92bfa833ee9c0ce464bbc2f941ae6c2698d
Référence(s)
http://seclists.org/oss-sec/2016/q1/645
Référence(s) CVE 

CVE-2016-2324 
CVE-2016-2315 

Référence CERT-XMCO
CXA-2016-0857

Cert-XMCO