Sicherheit

Github Projekthosting mit massiver Lücke

Die Projekthosting-Seite Github, die fast 2,5 Millionen freie Projekte hostet, wies bis gestern eine massive Sicherheitslücke auf, mit der jeder Nutzer Administrator-Rechte für jedes beliebige Projekt erhalten konnte.

Github Projekthosting mit massiver Lücke

© Github

Github Projekthosting mit massiver Lücke

Begonnen hat es damit, dass der russische Hacker Egor Homakov eine Funktion in Ruby on Rails entdeckte, die sich bei falscher Anwendung als Lücke ausnutzen lässt. Ruby ist ein quelloffenes Web Application Framework, dass auch bei Github gehostet wird.Homakov meldete, wie üblich, die entdeckte Schwachstelle an die Rails-Entwickler. Diese wiegelten aber ab und sahen darin ein Problem der Anwender, die Rails-Anwendungen entwickeln. Homakov hielt die Lücke für gefährlich genug, um nicht aufzugeben, sondern testete seine gefundene Lücke live - bei Github. Er bewies den Rails-Entwicklern, dass sie falsch lagen, indem er deren eigenen Account öffnete, eine Datei hinzufügte und Kommentare mit einem Datum aus der Zukunft schrieb. Genauso gut hätte er die gesamte Projekthistorie löschen können.Der "Einbruch" gefiel den Github-Entwicklern nicht, und sie sperrten Homakovs Account, nachdem sie eine Sicherheitswarnung herausgegeben hatten. Die Lücke wurde geschlossen. Später entschuldigte man sich in einer zweiten Verlautbarung und setzte den Account von Homakov wieder aktiv. Auch bei Rails führte der Vorfall zum Umdenken. Die Funktion, die die Lücke möglich machte, eine Massenzuweisung von Formularvariablen, wird deaktiviert, sofern das möglich ist, ohne die Applikationen, die damit arbeiten, zu gefährden. Für Rails 3 soll die Funktion als Plugin umgesetzt werden. Eine ähnliche Implementierung hatte in der Vergangenheit bereits bei PHP zu massiven Sicherheitsproblemen geführt.

Mehr zum Thema

Untersuchung: Quelloffene Software besser als proprietäre Lösungen
Freie Software

Das amerikanischen Unternehmens Coverity hat bei seiner jährlichen Analyse des Codes von Open Source und proprietärer Software festgestellt, dass…
PHP
Web-Programmierung

Nach langer Betaphase wurde jetzt die Version 5.4 der Web-Scriptsprache PHP veröffentlicht. Sie verspricht nicht nur mehr Performance sondern auch…
HTML5 auf allen Plattformen
Intel Developer Forum 2012

Intel sieht in HTML5-Apps die Zukunft für Desktop- und Mobile-Software. Mit einem Rundum-Developer-Programm will die Firma App-Programmierern auch…
Auf der Game Developers Conference hat Microsoft DirectX 12 vorgestellt.
DirectX 12 vorgestellt

Auf der GDC 2014 hat Microsoft DirectX 12 vorgestellt. Es soll vor allem die Leistung bei 3D-Anwendungen steigern und Mehrkern-Systeme besser…
Ayan Qureshi
IT-Nachwuchshoffnung Ayan Qureshi

Ayan Qureshi ist es gelungen, im zarten Alter von fünf Jahren zum Microsoft Certified Professional aufzusteigen. Damit ist er bisher der Jüngste,…