Github gehackt

05.03.2012

Ein gutwilliger Hacker hat eine Sicherheitslücke im Github-Code ausgenutzt, um sich unberechtigten Zugang zum Rails-Projekt zu verschaffen.

Der Hacker und Programmierer Egor Homakov hat eine Sicherheitslücke im Code von der Git-Repository-Site Github ausgenutzt, um sich Zugang zum Projekt Ruby on Rails zu verschaffen. Durch einen schon länger bekannten Fehler beim so genannten Mass Assignment in Rails, das auch von Github selbst verwendet wird, konnte Homakov seinen Public Key dem Projekt hinzufügen und somit Schreibzugriff auf das Rails-Repository erlangen. Wie er in seinem Blog behauptet, wurden seine Hinweise auf die Lücke zuerst ignoriert, woraufhin er sich zu dem öffentlichwirksamen Hack entschloss. Nachdem Github den Fehler behoben hatte, begann er damit, seinen Einbruch zu dokumentieren.

Github hat Homakovs Benutzeraccount zwischenzeitlich geschlossen und unterzieht den gesamten eingesetzten Rails-Code einem Security Audit. In Zukunft sollen solche Audits regelmäßig durchgeführt werden, um ähnliche Fehler zu vermeiden, wie der entsprechende Blog-Eintrag das Github-Gründers Tom Preston-Werner verspricht. Nach einer Diskussion um das angebliche Fehlverhalten Homakovs hat Github seinen Account wieder aktiviert und eine weitere Stellungnahme zum eigenen Verhalten bei dem Vorgang veröffentlicht. In einer Diskussion zum Thema weist der Rails-Core-Entwickler Yehuda Katz darauf hin, dass sich letztlich nicht alle Sicherheitsprobleme durch Webframeworks verhindern lassen. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Sicherheits-Bugfix für Ruby on Rails

Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Google+

Artikel der Woche

Workshop: Aufbau und Inbetriebnahme von Bareos

Bareos ist als Fork des Backup-Klassikers Bacula ein vollständig quelloffenes und freies Werkzeug zur Datensicherung. Neben zusätzlichen Features verschlankt Bareos vor allem die Konfigurations-Dateien und vereinfacht so die Konfiguration. Dieser Workshop führt durch die Inbetriebnahme und Einrichtung des Sicherungstools und zeigt darauf aufbauend ein erstes Backup. (mehr)

Ausgabe /2015

Cloud Computing

Cloud Computing ist für mich

  • ein Buzzword ohne konkrete Auswirkungen auf meine Arbeit.
  • eine sinnvolle Technologie, die ich allerdings so bald nicht einsetzen werde.
  • eine interessante Technologie, die ich bereits praktisch evaluiere.
  • Alltag - ich setze heute bereits Clouds produktiv und erfolgreich ein.
  • alter Wein im neuen Schlauch. Was ist der Unterschied zu Virtualisierung?