Programmierfehler: Ruby-on-Rails-Repository bei Github kompromittiert

Einem Angreifer gelang es, Schreibzugriff auf das Github-Repository der Entwickler von Ruby-on-Rails zu bekommen. Der verantwortliche Github-Nutzer darf nach einem kurzen Ausschluss seinen Account weiter nutzen - er handelte nicht bösartig.

Artikel veröffentlicht am ,
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um.
Eine Funktion in Rails setzten die Github-Entwickler nachlässig um. (Bild: Github/Screenshot: Golem.de)

Wie die Github-Betreiber in ihrem Blog mitteilen, erlangte ein Nutzer am gestrigen Sonntagmorgen Schreibzugriff auf das Repository der Ruby-on-Rails-Entwickler sowie zwei weitere Repositories. Der Entwickler Egor Homakov nutzte dazu das Updateformular für öffentliche Schlüssel. Über eine Schwachstelle in dem Formular gelang es Homakov, seinen Schlüssel zu dem Repository hinzufügen. Er konnte dadurch eine Datei anlegen.

Stellenmarkt
  1. Technology Generalist Business Innovation (m/w/d)
    ALDI SÜD Dienstleistungs-GmbH & Co. oHG, Mülheim an der Ruhr
  2. Softwareentwickler (m/w/d) für den Energiemarkt
    PSI Energy Markets GmbH, Aschaffenburg, Berlin, Hannover
Detailsuche

Homakov wählte das Repository wohl für seinen Angriff, da die Github-Betreiber für ihre Dienste unter anderem Ruby-on-Rails, kurz Rails, einsetzen und der entsprechende Fehler seit Jahren bekannt ist. Eine Rails-Anwendung kann so geschrieben werden, dass bestimmte Nutzerattribute auf einmal an alle Nutzer vergeben werden können. Ohne Sicherheitsvorkehrungen kann dies jedoch von Angreifern genutzt werden, um sich selbst mit dem Admin-Attribut auszustatten. Homakov nutzte eben dieses Verfahren.

Nachdem der Angriff den Github-Betreibern bekanntwurde, schlossen sie Homakov umgehend von Github aus, entsprechend ihren Nutzerrichtlinien. Anschließend behoben sie den Fehler in dem Schlüsselformular und durchsuchten ihren restlichen Code nach diesem Fehler.

In einem weiteren Blogeintrag teilt Github mit, dass Homakov den Betreibern bereits vor einigen Tagen eine Sicherheitslücke meldete und diese gemeinsam mit ihnen schloss. Die neuerliche Lücke sei zwar nicht von Homakov gemeldet, aber auch nicht bösartig ausgenutzt worden, heißt es in dem Eintrag. Deshalb dürfe Homakov weiter seinen Account bei Github nutzen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Homakov sieht den Fehler in der von ihm genutzten Lücke in der beschriebenen Funktion des Rails-Frameworks. Deshalb initiierte Homakov einen Bug-Report, der dazu führen soll, dass das massenhafte Zuweisen von Attributen standardmäßig nicht in Rails genutzt werden kann. Um seiner Forderung Nachdruck zu verleihen, öffnete Homakov einen zweiten Bug-Report bei Rails, der auf den 2. März 3012 datiert ist. Dieses Datum konnte Homakov ebenfalls durch einen Fehler im Rails-Code von Github erzeugen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  2. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

  3. Abonnenten verunsichert: Apple hat Hörbücher aus Apple Music entfernt
    Abonnenten verunsichert
    Apple hat Hörbücher aus Apple Music entfernt

    Wer mit einem Musikstreamingabo Hörbücher hören will, muss von Apple Music zu Deezer, Spotify oder einem anderen Anbieter wechseln.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /