Github gehackt

05.03.2012

Ein gutwilliger Hacker hat eine Sicherheitslücke im Github-Code ausgenutzt, um sich unberechtigten Zugang zum Rails-Projekt zu verschaffen.

Der Hacker und Programmierer Egor Homakov hat eine Sicherheitslücke im Code von der Git-Repository-Site Github ausgenutzt, um sich Zugang zum Projekt Ruby on Rails zu verschaffen. Durch einen schon länger bekannten Fehler beim so genannten Mass Assignment in Rails, das auch von Github selbst verwendet wird, konnte Homakov seinen Public Key dem Projekt hinzufügen und somit Schreibzugriff auf das Rails-Repository erlangen. Wie er in seinem Blog behauptet, wurden seine Hinweise auf die Lücke zuerst ignoriert, woraufhin er sich zu dem öffentlichwirksamen Hack entschloss. Nachdem Github den Fehler behoben hatte, begann er damit, seinen Einbruch zu dokumentieren.

Github hat Homakovs Benutzeraccount zwischenzeitlich geschlossen und unterzieht den gesamten eingesetzten Rails-Code einem Security Audit. In Zukunft sollen solche Audits regelmäßig durchgeführt werden, um ähnliche Fehler zu vermeiden, wie der entsprechende Blog-Eintrag das Github-Gründers Tom Preston-Werner verspricht. Nach einer Diskussion um das angebliche Fehlverhalten Homakovs hat Github seinen Account wieder aktiviert und eine weitere Stellungnahme zum eigenen Verhalten bei dem Vorgang veröffentlicht. In einer Diskussion zum Thema weist der Rails-Core-Entwickler Yehuda Katz darauf hin, dass sich letztlich nicht alle Sicherheitsprobleme durch Webframeworks verhindern lassen. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Sicherheits-Bugfix für Ruby on Rails

Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.

Artikel der Woche

Workshop: Performance-Optimierung von Red Hat Enterprise Linux

Hegen IT-Verantwortliche den Wunsch nach Performance-Gewinnen für die Server-Infrastruktur, ist dies unzureichender Leistung geschuldet oder fehlendem Platz für die Hardware-Erweiterung. Denn mehr Rechenpower lässt sich auf zwei Arten erzielen: Investitionen in zusätzliche Hardware oder die bessere Nutzung vorhandener Ressourcen. Letzteres erfordert einiges an Know-how und erfordert eine genaue Analyse der vorhandenen Umgebung. Dieser Artikel beschreibt die Optimierung von I/O, Netzwerk und CPU auf Basis von Red Hat Enterprise Linux. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Ausgabe /2014

Cloud Computing

Cloud Computing ist für mich

  • ein Buzzword ohne konkrete Auswirkungen auf meine Arbeit.
  • eine sinnvolle Technologie, die ich allerdings so bald nicht einsetzen werde.
  • eine interessante Technologie, die ich bereits praktisch evaluiere.
  • Alltag - ich setze heute bereits Clouds produktiv und erfolgreich ein.
  • alter Wein im neuen Schlauch. Was ist der Unterschied zu Virtualisierung?

Microsoft Azure