Abo
  • Services:

Websicherheit: Riskante Git-Verzeichnisse

Viele Webseitenbetreiber nutzen das Versionsverwaltungssystem Git, um den Code ihrer Seite zu pflegen. Das kann zum Sicherheitsproblem werden, wenn die Git-Daten öffentlich abrufbar sind.

Artikel veröffentlicht am , Hanno Böck
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen.
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen. (Bild: Git-Logo)

Versionsverwaltungssysteme wie Git sind heute fast überall, wo Code geschrieben wird, im Einsatz. Auch Webentwickler nutzen Git gerne, um ihre Projekte zu verwalten. Doch dabei kann ein unerwartetes Sicherheitsproblem auftreten: Wenn der Zugriff auf die Daten des Git-Repositories öffentlich möglich ist, können Angreifer unter Umständen sensible Daten abgreifen.

Öffentlich abrufbare .git-Verzeichnisse

Stellenmarkt
  1. Landesbetrieb IT.Niedersachsen, Hannover
  2. Hannover Rück SE, Hannover

In jedem Git-Repository gibt es ein Unterverzeichnis .git, in dem sich in codierter Form Metadaten und alle Änderungen des Repositories in der Vergangenheit befinden. In einem Blogeintrag berichtete der IT-Sicherheitsexperte Jamie Brown, dass er Tausende von Webseiten fand, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen lässt sich das einfach: In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

In vielen Fällen ist das ein Sicherheitsproblem. So können beispielsweise Datenbankzugänge oder andere Zugangsdaten im Git-Repository abgelegt sein oder Informationen, die nur nach einem Login zugänglich sein sollen. Jamie Brown fand nach eigenen Angaben auf der Webseite einer Menschenrechtsorganisation eine Datei, die die vollständigen Adressen aller Unterzeichner einer Petition für die Rechte von Homosexuellen enthielt. Ebenfalls ein Problem sein kann, dass manchmal in den Git-Konfigurationsdateien direkt Zugangsdaten für das Repository abgelegt sind. Damit könnte ein Angreifer dann den Code der Webseite direkt ändern. In manchen Fällen können die Git-Daten auch harmlos sein, beispielsweise wenn es sich um den Checkout eines Content-Management-Systems handelt, dessen Quellcode sowieso frei verfügbar ist.

Um Daten aus dem Git-Repository zu extrahieren, muss man die dazugehörigen Dateien finden und herunterladen. Einfach ist dies, wenn das Directory-Listing auf dem entsprechenden Webserver aktiviert ist. Doch auch mit deaktiviertem Directory-Listing lassen sich die Dateien abrufen. Die Betreiber der Webseite Internetwache haben das Problem ebenfalls analysiert und Tools geschrieben, mit denen sich in dem Fall sämtliche Dateien eines Git-Repositories anhand der Metadaten finden und herunterladen lassen.

Das Team der Internetwache hat die laut der Webseite Alexa beliebtesten eine Million Webseiten geprüft. 9.700 davon hatten ein öffentlich abrufbares Git-Repository, also knapp ein Prozent. Die Internetwache-Betreiber haben auch einige Statistiken erstellt und fanden beispielsweise heraus, dass etwa ein Zehntel der Webseitenbetreiber ihre Repositories über unverschlüsselte Protokolle verwalten. Aus Sicherheitsgründen sollte man hier entweder HTTPS oder SSH nutzen.

Auch Subversion kann zum Risiko werden

Circa 900 Systeme hatten laut Internetwache ein abrufbares Subversion-Repository. Für Subversion und andere Versionsverwaltungssysteme existiert dasselbe Problem wie bei Git, nur kommen diese Systeme deutlich seltener zum Einsatz. Auch für diese Systeme findet man auf Github Tools, mit denen man die entsprechenden Verzeichnisse herunterladen kann.

Betroffen waren laut dem Scan der Internetwache in Deutschland unter anderem die Webseite der Grünen und die Mitfahrzentrale mitfahrgelegenheit.de. Wir hatten vorab die Betreiber beider Seiten informiert und die entsprechenden Verzeichnisse sind nun gesperrt. Auch der Zahlungsanbieter Popcash hat nach unserem Hinweis den Zugriff gesperrt. Die Webseite Mystart hat auf unsere Mail nicht reagiert, dort ist das Git-Repository weiterhin abrufbar.

Wer Git oder ein anderes Versionsverwaltungssystem zum Deployment der eigenen Webseite nutzt, sollte entweder dafür sorgen, dass sich das jeweilige Verzeichnis außerhalb des Webroots befindet oder den Zugriff darauf sperren. Eine mögliche Konfiguration, um im Apache-Webserver den Zugriff auf alle Git- und Subversion-Repositories zu unterbinden, könnte etwa so aussehen:

<DirectoryMatch ".*/\.(git|svn)/.*">
  Require all denied
</DirectoryMatch>

Neu ist das Problem übrigens nicht. Immer wieder haben Webentwickler und Sicherheitsforscher in der Vergangenheit auf das Risiko hingewiesen. Scheinbar ist das aber nicht bei allem Webseitenbetreibern angekommen.



Anzeige
Blu-ray-Angebote
  1. (u. a. Spider-Man 1-3 für 8,49€, X-Men 1-6 für 23,83€ und Batman 1-4 für 14,97€)
  2. 9,99€

_Pluto1010_ 30. Jul 2015

Glaub mir sowas wird gemacht :-/ Ich gebe dir absolut Recht - sowas ist völlig am Ziel...

Iruwen 29. Jul 2015

Sowas gehört trotzdem in der Regel nicht ins Repository. Wenn das an anderer Stelle...

Iruwen 29. Jul 2015

Alternativ: RedirectMatch 404 /\.(git|svn)

Baron Münchhausen. 29. Jul 2015

- Wer macht noch Apps/Seiten, bei denen der document root im root des "Projektes" ist? Da...

Niantic 29. Jul 2015

viele editoren legen beim speichern backups der vorherigen version ab. diese werden auch...


Folgen Sie uns
       


Adobe Premiere mit Quicksync ausprobiert

Quicksync ist eine überfällige Neuerung für Adobe Premiere. Wir haben die Hardwarebeschleunigung ausprobiert.

Adobe Premiere mit Quicksync ausprobiert Video aufrufen
Elektroautos: Ladesäulen und die Tücken des Eichrechts
Elektroautos
Ladesäulen und die Tücken des Eichrechts

Wenn Betreiber von Ladestationen das Wort "eichrechtskonform" hören, stöhnen sie genervt auf. Doch demnächst soll es mehr Lösungen geben, die die Elektromobilität mit dem strengen deutschen Eichrecht in Einklang bringen. Davon profitieren Anbieter und Fahrer gleichermaßen.
Eine Analyse von Friedhelm Greis

  1. WE Solutions Günstige Elektroautos aus dem 3D-Drucker
  2. Ladesäulen Chademo drängt auf 400-kW-Ladeprotokoll für E-Autos
  3. Elektromobiltät UPS kauft 1.000 Elektrolieferwagen von Workhorse

Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
Anthem angespielt
Action in fremder Welt und Abkühlung im Wasserfall

E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

  1. Dying Light 2 Stadtentwicklung mit Schwung
  2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
  3. Control Remedy Entertainment mit übersinnlichen Räumen

Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

    •  /