Github gehackt

05.03.2012

Ein gutwilliger Hacker hat eine Sicherheitslücke im Github-Code ausgenutzt, um sich unberechtigten Zugang zum Rails-Projekt zu verschaffen.

Der Hacker und Programmierer Egor Homakov hat eine Sicherheitslücke im Code von der Git-Repository-Site Github ausgenutzt, um sich Zugang zum Projekt Ruby on Rails zu verschaffen. Durch einen schon länger bekannten Fehler beim so genannten Mass Assignment  in Rails, das auch von Github selbst verwendet wird, konnte Homakov seinen Public Key dem Projekt hinzufügen und somit Schreibzugriff auf das Rails-Repository erlangen. Wie er in seinem Blog behauptet , wurden seine Hinweise auf die Lücke zuerst ignoriert, woraufhin er sich zu dem öffentlichwirksamen Hack entschloss. Nachdem Github den Fehler behoben hatte, begann er damit, seinen Einbruch zu dokumentieren .

Github hat Homakovs Benutzeraccount zwischenzeitlich  geschlossen  und unterzieht den gesamten eingesetzten Rails-Code einem Security Audit. In Zukunft sollen solche Audits regelmäßig durchgeführt werden, um ähnliche Fehler zu vermeiden, wie der entsprechende Blog-Eintrag  das Github-Gründers Tom Preston-Werner verspricht. Nach einer Diskussion um das angebliche Fehlverhalten Homakovs hat Github seinen Account wieder aktiviert und eine weitere Stellungnahme zum eigenen Verhalten bei dem Vorgang veröffentlicht . In einer Diskussion  zum Thema weist der Rails-Core-Entwickler Yehuda Katz darauf hin, dass sich letztlich nicht alle Sicherheitsprobleme durch Webframeworks verhindern lassen. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Sicherheits-Bugfix für Ruby on Rails

Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023