Abo
  • IT-Karriere:

Programmierfehler: Ruby-on-Rails-Repository bei Github kompromittiert

Einem Angreifer gelang es, Schreibzugriff auf das Github-Repository der Entwickler von Ruby-on-Rails zu bekommen. Der verantwortliche Github-Nutzer darf nach einem kurzen Ausschluss seinen Account weiter nutzen - er handelte nicht bösartig.

Artikel veröffentlicht am ,
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um.
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um. (Bild: Github/Screenshot: Golem.de)

Wie die Github-Betreiber in ihrem Blog mitteilen, erlangte ein Nutzer am gestrigen Sonntagmorgen Schreibzugriff auf das Repository der Ruby-on-Rails-Entwickler sowie zwei weitere Repositories. Der Entwickler Egor Homakov nutzte dazu das Updateformular für öffentliche Schlüssel. Über eine Schwachstelle in dem Formular gelang es Homakov, seinen Schlüssel zu dem Repository hinzufügen. Er konnte dadurch eine Datei anlegen.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. UDG United Digital Group, Mainz, Herrenberg, Karlsruhe, Ludwigsburg, Hamburg

Homakov wählte das Repository wohl für seinen Angriff, da die Github-Betreiber für ihre Dienste unter anderem Ruby-on-Rails, kurz Rails, einsetzen und der entsprechende Fehler seit Jahren bekannt ist. Eine Rails-Anwendung kann so geschrieben werden, dass bestimmte Nutzerattribute auf einmal an alle Nutzer vergeben werden können. Ohne Sicherheitsvorkehrungen kann dies jedoch von Angreifern genutzt werden, um sich selbst mit dem Admin-Attribut auszustatten. Homakov nutzte eben dieses Verfahren.

Nachdem der Angriff den Github-Betreibern bekanntwurde, schlossen sie Homakov umgehend von Github aus, entsprechend ihren Nutzerrichtlinien. Anschließend behoben sie den Fehler in dem Schlüsselformular und durchsuchten ihren restlichen Code nach diesem Fehler.

In einem weiteren Blogeintrag teilt Github mit, dass Homakov den Betreibern bereits vor einigen Tagen eine Sicherheitslücke meldete und diese gemeinsam mit ihnen schloss. Die neuerliche Lücke sei zwar nicht von Homakov gemeldet, aber auch nicht bösartig ausgenutzt worden, heißt es in dem Eintrag. Deshalb dürfe Homakov weiter seinen Account bei Github nutzen.

Homakov sieht den Fehler in der von ihm genutzten Lücke in der beschriebenen Funktion des Rails-Frameworks. Deshalb initiierte Homakov einen Bug-Report, der dazu führen soll, dass das massenhafte Zuweisen von Attributen standardmäßig nicht in Rails genutzt werden kann. Um seiner Forderung Nachdruck zu verleihen, öffnete Homakov einen zweiten Bug-Report bei Rails, der auf den 2. März 3012 datiert ist. Dieses Datum konnte Homakov ebenfalls durch einen Fehler im Rails-Code von Github erzeugen.



Anzeige
Hardware-Angebote
  1. 334,00€
  2. 245,90€ + Versand
  3. 83,90€

Folgen Sie uns
       


Speedport Pro - Test

Der Speedport Pro ist gerade im WLAN verglichen mit dem älteren Speedport Hybrid eine Verbesserung. Allerdings zeigt sich in unserem Test auch, dass die maximale Datenrate nicht steigt. Eher das Gegenteil ist der Fall.

Speedport Pro - Test Video aufrufen
Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Recycling: Die Plastikfischer
Recycling
Die Plastikfischer

Millionen Tonnen Kunststoff landen jedes Jahr im Meer. Müllschlucker, die das Material einsammeln, sind bislang wenig erfolgreich. Eine schwimmende Recycling-Fabrik, die die wichtigsten Häfen anläuft, könnte helfen, das Problem zu lösen.
Ein Bericht von Daniel Hautmann

  1. Elektroautos Audi verbündet sich mit Partner für Akkurecycling
  2. Urban Mining Wie aus alten Platinen wieder Kupfer wird

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

    •  /