Abo
  • Services:

Travis CI: Falsch gesetzte Variable führt zu gelöschter Datenbank

Der mit Github genutzte Dienst Travis-CI war für mehrere Stunden nicht erreichbar. Der Grund ist offenbar eine falsch gesetzte Variable eines Entwicklers, die zum Verlust der Produktivdatenbank geführt hat. Eventuell waren Nutzerdaten für andere einsehbar.

Artikel veröffentlicht am ,
Beim Remote-Zugriff auf Server kann schon mal was schief gehen.
Beim Remote-Zugriff auf Server kann schon mal was schief gehen. (Bild: Quinn Dombrowski/CC-BY-SA 2.0)

Bereits Mitte März ist der in Verbindung mit dem Code-Hoster Github verwendete Dienst Travis CI für fast acht Stunden nicht erreichbar oder nicht nutzbar gewesen. In einer ausführlichen Analyse beschreibt das Betreiberteam des Continuous-Integration-Dienstes, wie es dazu kommen konnte: Offenbar hat einer der Entwickler versehentlich die Produktivdatenbank gelöscht, indem alle Tabellen als leer markiert worden sind (Truncate). Eigentlich sollte dies nur auf einem Testsystem geschehen, eine falsch gesetzte Variable führte den Test jedoch auf dem Produktivsystem durch.

Stellenmarkt
  1. Hays AG, Raum Nürnberg
  2. diva-e Digital Value Excellence GmbH, München

Das Terminal, in dem der Befehl ausgeführt worden ist, war eine mehrere Tage alte Tmux-Sitzung, in der die Umgebungsvaribale DATABASE_URL für das Produktivsystem noch gesetzt war. Der betroffene Entwickler hat demnach zuvor über die Sitzung und die Variable das Produktivsystem untersucht, kehrte für das Ausführen der Tests aber "unwissentlich" in diese Sitzung zurück, ohne den Inhalt der Variable zu ändern. Dass das Team überhaupt auf diese Weise Schreibzugriff auf das Produktivsystem hat, führen die Betreiber auf schlechte Werkzeuge zurück, die die Arbeit mit der Read-only-Kopie erschwerten. Der direkte Zugriff sei eine "übliche Abkürzung". Die Datenbank ist nach dem Fehler aus einem Backup wieder hergestellt worden.

Um solche Fehler künftig komplett zu vermeiden, hat das Travis-Team eigenen Angaben zufolge die Rechteoptionen für den Truncate-Befehl entfernt. Darüber hinaus überprüft ein internes Werkzeug künftig, ob die Variable gesetzt ist und warnt die Entwickler in diesem Fall. Für das genutzte Testwerkzeug Database Cleaner hat das Team ebenfalls eine Schutzfunktion gebaut, damit über die Variable nicht aus Versehen auf eine entfernte Datenbank zugegriffen wird.

Eventuell Nutzerdaten betroffen

Da nach dem Löschen der Datenbank die Anwendungen des Dienstes selbst noch rund 30 Minuten online gewesen sind, habe es beim Login zu Überscheidungen der Nutzer kommen können, so dass Daten eventuell von Dritten einsehbar waren. Der Untersuchung zufolge habe mindestens ein Nutzer in diesem Zeitraum zumindest theoretisch Zugriff auf Daten gehabt. Davon möglicherweise betroffene Kunden und Nutzer hat das Team von Travis bereits informiert.

Dass bestimmte Dienste wegen Problemen mit gelöschten Datenbanken ausfallen, kommt immer wieder vor. So hatte im vergangenen Jahr ein Mitarbeiter von Github-Konkurrent Gitlab versehentlich die Produktivdatenbank gelöscht, auch der Cloud-Hoster Digital Ocean hatte im vergangenen Jahr mit solch einer Panne zu kämpfen.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. (u. a. 3 Blu-rays für 20€, Boxsets im Angebot, Serien zum Sonderpreis)
  3. 4,99€

Andreas_B 10. Apr 2018 / Themenstart

Das lässt sich schwer pauschalisieren. Im Normalfall haben größere Firmen eigene IT...

VigarLunaris 09. Apr 2018 / Themenstart

Wir haben unsere DB-Zugriffe ebenso an AD-Konten gebunden. D. h. kein Problem mit User...

luarix 09. Apr 2018 / Themenstart

So eine "Funktion", die Vermutlich nur eingebaut wurde um Dinge vermeintlich "bequemer...

Kommentieren


Folgen Sie uns
       


Dell XPS 13 (9370) - Fazit

Dells neues XPS 13 ist noch dünner als der Vorgänger. Der Nachteil: Es muss auf USB-A und einen SD-Kartenleser verzichtet werden. Auch das spiegelnde Display nervt uns im Test. Gut ist das Notebook trotzdem.

Dell XPS 13 (9370) - Fazit Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /