Abo
  • Services:

Websicherheit: Riskante Git-Verzeichnisse

Viele Webseitenbetreiber nutzen das Versionsverwaltungssystem Git, um den Code ihrer Seite zu pflegen. Das kann zum Sicherheitsproblem werden, wenn die Git-Daten öffentlich abrufbar sind.

Artikel veröffentlicht am , Hanno Böck
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen.
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen. (Bild: Git-Logo)

Versionsverwaltungssysteme wie Git sind heute fast überall, wo Code geschrieben wird, im Einsatz. Auch Webentwickler nutzen Git gerne, um ihre Projekte zu verwalten. Doch dabei kann ein unerwartetes Sicherheitsproblem auftreten: Wenn der Zugriff auf die Daten des Git-Repositories öffentlich möglich ist, können Angreifer unter Umständen sensible Daten abgreifen.

Öffentlich abrufbare .git-Verzeichnisse

Stellenmarkt
  1. abilex GmbH, Stuttgart
  2. SYNLAB Holding Deutschland GmbH, Augsburg, Leverkusen

In jedem Git-Repository gibt es ein Unterverzeichnis .git, in dem sich in codierter Form Metadaten und alle Änderungen des Repositories in der Vergangenheit befinden. In einem Blogeintrag berichtete der IT-Sicherheitsexperte Jamie Brown, dass er Tausende von Webseiten fand, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen lässt sich das einfach: In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

In vielen Fällen ist das ein Sicherheitsproblem. So können beispielsweise Datenbankzugänge oder andere Zugangsdaten im Git-Repository abgelegt sein oder Informationen, die nur nach einem Login zugänglich sein sollen. Jamie Brown fand nach eigenen Angaben auf der Webseite einer Menschenrechtsorganisation eine Datei, die die vollständigen Adressen aller Unterzeichner einer Petition für die Rechte von Homosexuellen enthielt. Ebenfalls ein Problem sein kann, dass manchmal in den Git-Konfigurationsdateien direkt Zugangsdaten für das Repository abgelegt sind. Damit könnte ein Angreifer dann den Code der Webseite direkt ändern. In manchen Fällen können die Git-Daten auch harmlos sein, beispielsweise wenn es sich um den Checkout eines Content-Management-Systems handelt, dessen Quellcode sowieso frei verfügbar ist.

Um Daten aus dem Git-Repository zu extrahieren, muss man die dazugehörigen Dateien finden und herunterladen. Einfach ist dies, wenn das Directory-Listing auf dem entsprechenden Webserver aktiviert ist. Doch auch mit deaktiviertem Directory-Listing lassen sich die Dateien abrufen. Die Betreiber der Webseite Internetwache haben das Problem ebenfalls analysiert und Tools geschrieben, mit denen sich in dem Fall sämtliche Dateien eines Git-Repositories anhand der Metadaten finden und herunterladen lassen.

Das Team der Internetwache hat die laut der Webseite Alexa beliebtesten eine Million Webseiten geprüft. 9.700 davon hatten ein öffentlich abrufbares Git-Repository, also knapp ein Prozent. Die Internetwache-Betreiber haben auch einige Statistiken erstellt und fanden beispielsweise heraus, dass etwa ein Zehntel der Webseitenbetreiber ihre Repositories über unverschlüsselte Protokolle verwalten. Aus Sicherheitsgründen sollte man hier entweder HTTPS oder SSH nutzen.

Auch Subversion kann zum Risiko werden

Circa 900 Systeme hatten laut Internetwache ein abrufbares Subversion-Repository. Für Subversion und andere Versionsverwaltungssysteme existiert dasselbe Problem wie bei Git, nur kommen diese Systeme deutlich seltener zum Einsatz. Auch für diese Systeme findet man auf Github Tools, mit denen man die entsprechenden Verzeichnisse herunterladen kann.

Betroffen waren laut dem Scan der Internetwache in Deutschland unter anderem die Webseite der Grünen und die Mitfahrzentrale mitfahrgelegenheit.de. Wir hatten vorab die Betreiber beider Seiten informiert und die entsprechenden Verzeichnisse sind nun gesperrt. Auch der Zahlungsanbieter Popcash hat nach unserem Hinweis den Zugriff gesperrt. Die Webseite Mystart hat auf unsere Mail nicht reagiert, dort ist das Git-Repository weiterhin abrufbar.

Wer Git oder ein anderes Versionsverwaltungssystem zum Deployment der eigenen Webseite nutzt, sollte entweder dafür sorgen, dass sich das jeweilige Verzeichnis außerhalb des Webroots befindet oder den Zugriff darauf sperren. Eine mögliche Konfiguration, um im Apache-Webserver den Zugriff auf alle Git- und Subversion-Repositories zu unterbinden, könnte etwa so aussehen:

<DirectoryMatch ".*/\.(git|svn)/.*">
  Require all denied
</DirectoryMatch>

Neu ist das Problem übrigens nicht. Immer wieder haben Webentwickler und Sicherheitsforscher in der Vergangenheit auf das Risiko hingewiesen. Scheinbar ist das aber nicht bei allem Webseitenbetreibern angekommen.



Anzeige
Hardware-Angebote
  1. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten

_Pluto1010_ 30. Jul 2015

Glaub mir sowas wird gemacht :-/ Ich gebe dir absolut Recht - sowas ist völlig am Ziel...

Iruwen 29. Jul 2015

Sowas gehört trotzdem in der Regel nicht ins Repository. Wenn das an anderer Stelle...

Iruwen 29. Jul 2015

Alternativ: RedirectMatch 404 /\.(git|svn)

Baron Münchhausen. 29. Jul 2015

- Wer macht noch Apps/Seiten, bei denen der document root im root des "Projektes" ist? Da...

Niantic 29. Jul 2015

viele editoren legen beim speichern backups der vorherigen version ab. diese werden auch...


Folgen Sie uns
       


Huawei Matebook X Pro - Test

Das Matebook X Pro ist ein gutes 14-Zoll-Ultrabook mit sinnvollen Anschlüssen, guten Eingabegeräten sowie Intel-Quadcore und dedizierter Geforce-Grafik. Die eigenwillige Kamera aber gefällt nicht jedem.

Huawei Matebook X Pro - Test Video aufrufen
Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam
  2. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York
  3. TU Graz Der Roboter als E-Tankwart

IT-Jobs: Achtung! Agiler Coach gesucht?
IT-Jobs
Achtung! Agiler Coach gesucht?

Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
Von Marvin Engel

  1. Wework Die Kaffeeautomatisierung des Lebens
  2. IT-Jobs Fünf neue Mitarbeiter in fünf Wochen?
  3. Frauen in IT-Berufen Programmierte Klischees

OLKB Planck im Test: Winzig, gerade, programmierbar - gut!
OLKB Planck im Test
Winzig, gerade, programmierbar - gut!

Wem 60-Prozent-Tastaturen wie die Vortex Poker 3 noch zu groß sind, der kann es mal mit 40 Prozent versuchen: Mit der voll programmierbaren Planck müssen wir anders als erwartet keine Abstriche machen - aber eine Umgewöhnung und die Einarbeitung in die Programmierung sind erforderlich.
Ein Test von Tobias Költzsch

  1. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern
  2. Kailh KS-Switch im Test Die bessere Alternative zu Cherrys MX Blue
  3. Apple-Patentantrag Krümel sollen Macbook-Tastatur nicht mehr stören

    •  /