Annonce de vulnérabilités de sécurité Git : CVE-2022-24765, CVE-2022-24767

xguru · 2022-04-14T10:47:30+09:00

Publication de la version corrective Git v2.35.2 GitHub n'est pas affecté par cette vulnérabilité CVE-2022-24765 : Sous Windows et sur les appareils multi-utilisateurs, un attaquant peut créer un dossier .git dans un dossier partagé parent du répertoire de travail afin de récupérer des informations de configuration et d'exécuter certaines commandes S'il est impossible de mettre à niveau, il est possible de contourner le problème en définissant la variable d'environnement GIT_CEILING_DIRECTORIES CVE-2022-24767 : Il est possible de placer une DLL malveillante dans C:\Windows\Temp en exploitant le fait que Git Uninstaller pour Windows s'exécute depuis le répertoire Temp de l'utilisateur

(github.blog)

2 points par xguru 2022-04-14 | 1 commentaires | Partager sur WhatsApp

Publication de la version corrective Git v2.35.2
GitHub n'est pas affecté par cette vulnérabilité
CVE-2022-24765 :
- Sous Windows et sur les appareils multi-utilisateurs, un attaquant peut créer un dossier .git dans un dossier partagé parent du répertoire de travail afin de récupérer des informations de configuration et d'exécuter certaines commandes
- S'il est impossible de mettre à niveau, il est possible de contourner le problème en définissant la variable d'environnement GIT_CEILING_DIRECTORIES
CVE-2022-24767 :
- Il est possible de placer une DLL malveillante dans C:\Windows\Temp en exploitant le fait que Git Uninstaller pour Windows s'exécute depuis le répertoire Temp de l'utilisateur

1 commentaires

e1q88 2022-04-14

La version disponible sur homebrew est la v2.35.3~ À titre de référence, ce serait sans doute bien de faire la mise à jour.

Annonce de vulnérabilités de sécurité Git : CVE-2022-24765, CVE-2022-24767

À lire aussi

1 commentaires