Abo
  • Services:

Programmierfehler: Ruby-on-Rails-Repository bei Github kompromittiert

Einem Angreifer gelang es, Schreibzugriff auf das Github-Repository der Entwickler von Ruby-on-Rails zu bekommen. Der verantwortliche Github-Nutzer darf nach einem kurzen Ausschluss seinen Account weiter nutzen - er handelte nicht bösartig.

Artikel veröffentlicht am ,
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um.
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um. (Bild: Github/Screenshot: Golem.de)

Wie die Github-Betreiber in ihrem Blog mitteilen, erlangte ein Nutzer am gestrigen Sonntagmorgen Schreibzugriff auf das Repository der Ruby-on-Rails-Entwickler sowie zwei weitere Repositories. Der Entwickler Egor Homakov nutzte dazu das Updateformular für öffentliche Schlüssel. Über eine Schwachstelle in dem Formular gelang es Homakov, seinen Schlüssel zu dem Repository hinzufügen. Er konnte dadurch eine Datei anlegen.

Stellenmarkt
  1. MailStore Software GmbH, Viersen
  2. Autobahn Tank & Rast Gruppe, Bonn

Homakov wählte das Repository wohl für seinen Angriff, da die Github-Betreiber für ihre Dienste unter anderem Ruby-on-Rails, kurz Rails, einsetzen und der entsprechende Fehler seit Jahren bekannt ist. Eine Rails-Anwendung kann so geschrieben werden, dass bestimmte Nutzerattribute auf einmal an alle Nutzer vergeben werden können. Ohne Sicherheitsvorkehrungen kann dies jedoch von Angreifern genutzt werden, um sich selbst mit dem Admin-Attribut auszustatten. Homakov nutzte eben dieses Verfahren.

Nachdem der Angriff den Github-Betreibern bekanntwurde, schlossen sie Homakov umgehend von Github aus, entsprechend ihren Nutzerrichtlinien. Anschließend behoben sie den Fehler in dem Schlüsselformular und durchsuchten ihren restlichen Code nach diesem Fehler.

In einem weiteren Blogeintrag teilt Github mit, dass Homakov den Betreibern bereits vor einigen Tagen eine Sicherheitslücke meldete und diese gemeinsam mit ihnen schloss. Die neuerliche Lücke sei zwar nicht von Homakov gemeldet, aber auch nicht bösartig ausgenutzt worden, heißt es in dem Eintrag. Deshalb dürfe Homakov weiter seinen Account bei Github nutzen.

Homakov sieht den Fehler in der von ihm genutzten Lücke in der beschriebenen Funktion des Rails-Frameworks. Deshalb initiierte Homakov einen Bug-Report, der dazu führen soll, dass das massenhafte Zuweisen von Attributen standardmäßig nicht in Rails genutzt werden kann. Um seiner Forderung Nachdruck zu verleihen, öffnete Homakov einen zweiten Bug-Report bei Rails, der auf den 2. März 3012 datiert ist. Dieses Datum konnte Homakov ebenfalls durch einen Fehler im Rails-Code von Github erzeugen.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 54,99€ mit Vorbesteller-Preisgarantie
  3. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  4. 9,99€

Folgen Sie uns
       


Hasselblad X1D und Fujifilm GFX 50S - Test

Im analogen Zeitalter waren Mittelformatkameras meist recht klobige Geräte, die vor allem Profis Vorteile boten. Einige davon sind im Zeitalter der Digitalfotografie obsolet. In Sachen Bildqualität sind Mittelformatkameras aber immer noch ganz weit vorn, wie wir beim Test der Fujifilm GFX 50S und Hasselblad X1D herausgefunden haben.

Hasselblad X1D und Fujifilm GFX 50S - Test Video aufrufen
Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    K-Byte: Byton fährt ein irres Tempo
    K-Byte
    Byton fährt ein irres Tempo

    Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
    Ein Bericht von Dirk Kunde

    1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
    2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
    3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

    Elektroautos: Ladesäulen und die Tücken des Eichrechts
    Elektroautos
    Ladesäulen und die Tücken des Eichrechts

    Wenn Betreiber von Ladestationen das Wort "eichrechtskonform" hören, stöhnen sie genervt auf. Doch demnächst soll es mehr Lösungen geben, die die Elektromobilität mit dem strengen deutschen Eichrecht in Einklang bringen. Davon profitieren Anbieter und Fahrer gleichermaßen.
    Eine Analyse von Friedhelm Greis

    1. WE Solutions Günstige Elektroautos aus dem 3D-Drucker
    2. Ladesäulen Chademo drängt auf 400-kW-Ladeprotokoll für E-Autos
    3. Elektromobiltät UPS kauft 1.000 Elektrolieferwagen von Workhorse

      •  /