Vulnérabilités critiques de libgit2 corrigées dans Ubuntu
libgit2 est une implémentation portable en C pur de la bibliothèque de méthodes de base Git qui vous permet d’utiliser Git dans vos propres applications logicielles. Essentiellement, il permet aux développeurs d’intégrer des fonctionnalités Git directement dans leurs applications, telles que la création de flux de travail Git personnalisés, d’IDE et d’autres outils sans s’appuyer sur l’interface de ligne de commande Git. Cependant, comme toute bibliothèque logicielle, libgit2 n’est pas à l’abri des failles de sécurité. Récemment, l’équipe de sécurité d’Ubuntu a fourni des correctifs pour plusieurs vulnérabilités libgit2 affectant différentes versions d’Ubuntu, notamment Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 et Ubuntu 16.04.
Vulnérabilités de libgit2 corrigées
CVE-2020-12278 (score de gravité Cvss 3 : 9,8 critique)
Une vulnérabilité a été trouvée dans libgit2 avant les versions 0.28.4 et 0.9x avant 0.99.0. Dans certains cas, path.c gérait mal les noms de fichiers équivalents sur les partitions NTFS. Cela peut potentiellement conduire à l’exécution de code à distance lors du clonage d’un référentiel.
CVE-2020-12279 (score de gravité Cvss 3 : 9,8 critique)
Une vulnérabilité a été identifiée dans les versions de libgit2 antérieures à la version 0.28.4 et 0.9x antérieures à la version 0.99.0. checkout.c a mal géré les noms de fichiers équivalents sur les partitions NTFS. Cette faille pourrait potentiellement entraîner l’exécution de code à distance lors du clonage d’un dépôt.
CVE-2023-22742 (score de gravité Cvss 3 : 5,9 moyen)
libgit2 n’effectuait pas de vérification de certificat par défaut. L’exploitation de cette faille pourrait permettre à un attaquant de mener une attaque de type « man-in-the-middle ». Cette vulnérabilité était spécifique aux versions 16.04, 18.04, 20.04 et 22.04 d’Ubuntu.
CVE-2024-24575 (score de gravité Cvss 3 : 7,5 élevé)
Une faille a été trouvée dans libgit2 qui pourrait déclencher une boucle infinie. L’exploitation de cette faille pourrait conduire à une condition de déni de service. Ce problème n’existait que dans Ubuntu 23.10. En tant que tel, les versions de libgit2 antérieures à la version 1.4.0 ne sont pas affectées. Ce problème a été corrigé dans les versions 1.6.5 et 1.7.2.
CVE-2024-24577 (score de gravité Cvss 3 : 9,8 critique)
Une vulnérabilité a été trouvée dans libgit2 liée à une mauvaise gestion de la mémoire. L’exploitation de cette faille pourrait potentiellement entraîner une attaque par déni de service ou permettre l’exécution de code arbitraire par un attaquant. Ce problème a été corrigé dans les versions 1.6.5 et 1.7.2.
Mesures d'atténuation
Compte tenu de la gravité des vulnérabilités de libgit2, il est impératif pour les utilisateurs des versions d’Ubuntu concernées d’appliquer rapidement les mises à jour de sécurité. Retarder les correctifs pourrait exposer les systèmes à une exploitation potentielle, c’est pourquoi les utilisateurs devraient donner la priorité à la mise à jour des paquets libgit2 vers la dernière version. Des mises à jour en temps opportun garantissent la résilience et la sécurité du système, en le protégeant contre les menaces et les vulnérabilités émergentes.
Les utilisateurs d’Ubuntu 16.04 et d’Ubuntu 18.04 ne peuvent recevoir ces mises à jour que s’ils disposent d’un abonnement Ubuntu Pro. Cependant, son prix peut ne pas convenir à ceux qui recherchent uniquement des correctifs. Ils peuvent également utiliser l’assistance à long cycle de vie de TuxCare, une solution rentable pour sécuriser les systèmes Ubuntu en fin de vie . Il fournit des correctifs de vulnérabilité pendant cinq années supplémentaires après la date de fin et garantit que vos systèmes restent protégés. Cela vous laisse également suffisamment de temps pour élaborer votre stratégie de migration sans avoir à la précipiter.
Si vous avez des questions sur la prise en charge du cycle de vie étendu pour Ubuntu 16.04 et Ubuntu 18.04, posez-nous une question et l’un de nos experts en sécurité Linux vous répondra.
Source : USN-6678-1 (en anglais seulement)