Programmierfehler: Ruby-on-Rails-Repository bei Github kompromittiert

Einem Angreifer gelang es, Schreibzugriff auf das Github-Repository der Entwickler von Ruby-on-Rails zu bekommen. Der verantwortliche Github-Nutzer darf nach einem kurzen Ausschluss seinen Account weiter nutzen - er handelte nicht bösartig.

Artikel veröffentlicht am ,
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um.
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um. (Bild: Github/Screenshot: Golem.de)

Wie die Github-Betreiber in ihrem Blog mitteilen, erlangte ein Nutzer am gestrigen Sonntagmorgen Schreibzugriff auf das Repository der Ruby-on-Rails-Entwickler sowie zwei weitere Repositories. Der Entwickler Egor Homakov nutzte dazu das Updateformular für öffentliche Schlüssel. Über eine Schwachstelle in dem Formular gelang es Homakov, seinen Schlüssel zu dem Repository hinzufügen. Er konnte dadurch eine Datei anlegen.

Stellenmarkt
  1. Informatiker / Fachinformatiker / Softwareentwickler (m/w/d)
    p.a. GmbH Engineering Services Prozess Automation, Poing
  2. Technischer Consultant - IT (m/w/d)
    Diamant Software GmbH, Bielefeld
Detailsuche

Homakov wählte das Repository wohl für seinen Angriff, da die Github-Betreiber für ihre Dienste unter anderem Ruby-on-Rails, kurz Rails, einsetzen und der entsprechende Fehler seit Jahren bekannt ist. Eine Rails-Anwendung kann so geschrieben werden, dass bestimmte Nutzerattribute auf einmal an alle Nutzer vergeben werden können. Ohne Sicherheitsvorkehrungen kann dies jedoch von Angreifern genutzt werden, um sich selbst mit dem Admin-Attribut auszustatten. Homakov nutzte eben dieses Verfahren.

Nachdem der Angriff den Github-Betreibern bekanntwurde, schlossen sie Homakov umgehend von Github aus, entsprechend ihren Nutzerrichtlinien. Anschließend behoben sie den Fehler in dem Schlüsselformular und durchsuchten ihren restlichen Code nach diesem Fehler.

In einem weiteren Blogeintrag teilt Github mit, dass Homakov den Betreibern bereits vor einigen Tagen eine Sicherheitslücke meldete und diese gemeinsam mit ihnen schloss. Die neuerliche Lücke sei zwar nicht von Homakov gemeldet, aber auch nicht bösartig ausgenutzt worden, heißt es in dem Eintrag. Deshalb dürfe Homakov weiter seinen Account bei Github nutzen.

Golem Akademie
  1. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
Weitere IT-Trainings

Homakov sieht den Fehler in der von ihm genutzten Lücke in der beschriebenen Funktion des Rails-Frameworks. Deshalb initiierte Homakov einen Bug-Report, der dazu führen soll, dass das massenhafte Zuweisen von Attributen standardmäßig nicht in Rails genutzt werden kann. Um seiner Forderung Nachdruck zu verleihen, öffnete Homakov einen zweiten Bug-Report bei Rails, der auf den 2. März 3012 datiert ist. Dieses Datum konnte Homakov ebenfalls durch einen Fehler im Rails-Code von Github erzeugen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
S-Klasse mit Level 3
Mercedes darf hochautomatisiert fahren

Autonom fahren ist es noch nicht, aber Level 3 darf Mercedes nun 2022 mit dem Drive Pilot in der S-Klasse und im EQS anbieten.

S-Klasse mit Level 3: Mercedes darf hochautomatisiert fahren
Artikel
  1. Verkehrssicherheit: Teslas werden zu rollender Spielkonsole und zur Gefahr
    Verkehrssicherheit
    Teslas werden zu rollender Spielkonsole und zur Gefahr

    Nach einem Software-Update können bei laufender Fahrt im Tesla drei Spiele gespielt werden. Die Verkehrssicherheitsbehörde ist entsetzt.

  2. Microsoft: Windows 11 bringt das Wetter zurück auf die Taskbar
    Microsoft
    Windows 11 bringt das Wetter zurück auf die Taskbar

    Wie sonnig es draußen ist, verrät Windows 11 künftig wieder ohne Zusatzklicks. Die Wetter-App kommt zurück auf die Taskbar - diesmal links.

  3. Coronapandemie: Leuchtende Maske erkennt Corona-Infektion
    Coronapandemie
    Leuchtende Maske erkennt Corona-Infektion

    Ein japanisches Team hat einen Corona-Test mit einem Farbstoff entwickelt. Der leuchtet, wenn eine Person mit dem Corona-Virus infiziert ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM-Module und SSDs von Crucial im Angebot • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Microsoft Flight Simulator Xbox 29,99€ • Alternate (u. a. Kingston A400 480 GB SSD 37,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /