Github gehackt
Ein gutwilliger Hacker hat eine Sicherheitslücke im Github-Code ausgenutzt, um sich unberechtigten Zugang zum Rails-Projekt zu verschaffen.
Der Hacker und Programmierer Egor Homakov hat eine Sicherheitslücke im Code von der Git-Repository-Site Github ausgenutzt, um sich Zugang zum Projekt Ruby on Rails zu verschaffen. Durch einen schon länger bekannten Fehler beim so genannten Mass Assignment in Rails, das auch von Github selbst verwendet wird, konnte Homakov seinen Public Key dem Projekt hinzufügen und somit Schreibzugriff auf das Rails-Repository erlangen. Wie er in seinem Blog behauptet, wurden seine Hinweise auf die Lücke zuerst ignoriert, woraufhin er sich zu dem öffentlichwirksamen Hack entschloss. Nachdem Github den Fehler behoben hatte, begann er damit, seinen Einbruch zu dokumentieren.
Github hat Homakovs Benutzeraccount zwischenzeitlich geschlossen und unterzieht den gesamten eingesetzten Rails-Code einem Security Audit. In Zukunft sollen solche Audits regelmäßig durchgeführt werden, um ähnliche Fehler zu vermeiden, wie der entsprechende Blog-Eintrag das Github-Gründers Tom Preston-Werner verspricht. Nach einer Diskussion um das angebliche Fehlverhalten Homakovs hat Github seinen Account wieder aktiviert und eine weitere Stellungnahme zum eigenen Verhalten bei dem Vorgang veröffentlicht. In einer Diskussion zum Thema weist der Rails-Core-Entwickler Yehuda Katz darauf hin, dass sich letztlich nicht alle Sicherheitsprobleme durch Webframeworks verhindern lassen.
Ähnliche Artikel
-
Sicherheits-Bugfix für Ruby on Rails
Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.
-
Exploit für Ruby-Rails-Lücke unterwegs
Für die im Januar entdeckt Sicherheitslücke in Ruby und Rails wurden nun im Internet kursierende Exploits entdeckt.
-
Einbruch in OpenSuse-Forum
Das öffentliche OpenSuse-Forum wurde gehackt. Der Einbrecher will mit einem eigenen Zero-Day-Exploit Zugriff auf die Benutzer-Login-Daten erlangt haben, diese aber nicht missbrauchen. Laut der Betreiber ist dies allerdings unmöglich, allerdings seien die Email-Adressen der Benutzer in die Hände des Hackers gefallen.
-
Super-Nginx bündelt Redis, Drizzle und Lua
Einer der Rails-Hauptentwickler paketiert den schnellen Webserver Nginx mit einer Reihe zukunftsträchtiger Technologien.
-
Neue Syslog-Implementation Graylog2 speichert in MongoDB
Eine neue Implementierung des Unix-Syslog sammelt Log-Informationen und speichert sie in einer NoSQL-Datenbank.
Sicherheits-Bugfix für Ruby on Rails
Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.
Konfigurationsmanagement
Themen
