Programmierfehler: Ruby-on-Rails-Repository bei Github kompromittiert

Einem Angreifer gelang es, Schreibzugriff auf das Github-Repository der Entwickler von Ruby-on-Rails zu bekommen. Der verantwortliche Github-Nutzer darf nach einem kurzen Ausschluss seinen Account weiter nutzen - er handelte nicht bösartig.

Artikel veröffentlicht am ,
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um.
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um. (Bild: Github/Screenshot: Golem.de)

Wie die Github-Betreiber in ihrem Blog mitteilen, erlangte ein Nutzer am gestrigen Sonntagmorgen Schreibzugriff auf das Repository der Ruby-on-Rails-Entwickler sowie zwei weitere Repositories. Der Entwickler Egor Homakov nutzte dazu das Updateformular für öffentliche Schlüssel. Über eine Schwachstelle in dem Formular gelang es Homakov, seinen Schlüssel zu dem Repository hinzufügen. Er konnte dadurch eine Datei anlegen.

Homakov wählte das Repository wohl für seinen Angriff, da die Github-Betreiber für ihre Dienste unter anderem Ruby-on-Rails, kurz Rails, einsetzen und der entsprechende Fehler seit Jahren bekannt ist. Eine Rails-Anwendung kann so geschrieben werden, dass bestimmte Nutzerattribute auf einmal an alle Nutzer vergeben werden können. Ohne Sicherheitsvorkehrungen kann dies jedoch von Angreifern genutzt werden, um sich selbst mit dem Admin-Attribut auszustatten. Homakov nutzte eben dieses Verfahren.

Nachdem der Angriff den Github-Betreibern bekanntwurde, schlossen sie Homakov umgehend von Github aus, entsprechend ihren Nutzerrichtlinien. Anschließend behoben sie den Fehler in dem Schlüsselformular und durchsuchten ihren restlichen Code nach diesem Fehler.

In einem weiteren Blogeintrag teilt Github mit, dass Homakov den Betreibern bereits vor einigen Tagen eine Sicherheitslücke meldete und diese gemeinsam mit ihnen schloss. Die neuerliche Lücke sei zwar nicht von Homakov gemeldet, aber auch nicht bösartig ausgenutzt worden, heißt es in dem Eintrag. Deshalb dürfe Homakov weiter seinen Account bei Github nutzen.

Homakov sieht den Fehler in der von ihm genutzten Lücke in der beschriebenen Funktion des Rails-Frameworks. Deshalb initiierte Homakov einen Bug-Report, der dazu führen soll, dass das massenhafte Zuweisen von Attributen standardmäßig nicht in Rails genutzt werden kann. Um seiner Forderung Nachdruck zu verleihen, öffnete Homakov einen zweiten Bug-Report bei Rails, der auf den 2. März 3012 datiert ist. Dieses Datum konnte Homakov ebenfalls durch einen Fehler im Rails-Code von Github erzeugen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Reviews
Hogwarts Legacy mit PC-Problemen und Detailreichtum

Die ersten Tests von Hogwarts Legacy loben Welt und Kampfsystem. Probleme gibt's wohl mit der PC-Technik - und Unwohlsein wegen J.K. Rowling.

Reviews: Hogwarts Legacy mit PC-Problemen und Detailreichtum
Artikel
  1. Volker Wissing: Schienengüterverbände sind gegen Autobahnausbau
    Volker Wissing
    Schienengüterverbände sind gegen Autobahnausbau

    Für den Güterverkehr sollte vermehrt auf die Bahn gesetzt werden und nicht auf mehr LKW. Für die gebe es eh nicht genug Fahrer, meinen Verbände.

  2. Streamer: Rocket Beans muss in Kurzarbeit
    Streamer
    Rocket Beans muss in Kurzarbeit

    Der Gaming-Kanal Rocket Beans hat wirtschaftliche Schwierigkeiten. Mitarbeiter müssen in Kurzarbeit, einige Sendungen entfallen.

  3. Künstliche Intelligenz: So funktioniert ChatGPT
    Künstliche Intelligenz
    So funktioniert ChatGPT

    Das mächtige Sprachmodell ChatGPT erzeugt Texte, die sich kaum von denen menschlicher Autoren unterscheiden lassen. Wir erklären die Technologie hinter dem Hype.
    Ein Deep Dive von Helmut Linde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM im Preisrutsch - neue Tiefstpreise! • Powercolor RX 7900 XTX 1.195€ • AMD Ryzen 7 5800X3D 329€ • Nur noch heute TV-Sale mit bis 77% Rabatt bei Otto • Lenovo Tab P11 Plus 249€ • MindStar: Intel Core i7 13700K 429€ • Logitech G915 Lightspeed 219,89€ • PCGH Cyber Week [Werbung]
    •  /