Quelle: Github
Sicherheitslücke bei Github
In der Code-Verwaltungsplattform Github klafft offenbar ein Leck, für das es keine schnelle Remedur zu geben scheint.
4. November 2020
Googles Sicherheitsforscher vom Project Zero haben eine Schwachstelle bei Github gefunden. Der Schweregrad wird mit hoch angegeben. Das Problem liegt in der Übertragung von Workflow-Befehlen zwischen dem Action Runner und den auszuführenden Actions: Sie ist offenbar äusserst empfindlich auf Injection-Attacken, die das Gesamtsystem manipulieren und stören können. Jede Gibhub-Action kann betroffen sein, die bei der Ausführung nicht vertrauenswürdige Inhalte auf den Kanal Stdout ausgibt, wie der Entdecker des Lecks, Felix Wilhelm, im Issue-Blog von Project Zero festhält.
Schnelle Abhilfe scheint es nicht zu geben, denn Wilhelm meint, "dass die Art, wie Workflow-Befehle implementiert sind, von Grund auf unsicher ist." Eine mögliche Lösung könne sein, Workflow-Befehle in einen vom Ausgangskanal separaten Kanal auszugliedern, zum Beispiel in einen neuen File Descriptor. Dies wiederum wirke sich jedoch negativ auf einen Grossteil des bestehenden Action-Codes aus. Das Fazit von Felix Wilhelm: "Je nach Programmiersprache ist es ziemlich unmöglich, zu garantieren, dass kein nicht vertrauenswürdiger Code in Stdout landet." (ubi)
Schnelle Abhilfe scheint es nicht zu geben, denn Wilhelm meint, "dass die Art, wie Workflow-Befehle implementiert sind, von Grund auf unsicher ist." Eine mögliche Lösung könne sein, Workflow-Befehle in einen vom Ausgangskanal separaten Kanal auszugliedern, zum Beispiel in einen neuen File Descriptor. Dies wiederum wirke sich jedoch negativ auf einen Grossteil des bestehenden Action-Codes aus. Das Fazit von Felix Wilhelm: "Je nach Programmiersprache ist es ziemlich unmöglich, zu garantieren, dass kein nicht vertrauenswürdiger Code in Stdout landet." (ubi)
Weitere Artikel zum Thema
Google lanciert Covid-19 Open Data auf Github
21. September 2020 - Google hat auf Github das Projekt Covid-19 Open Data lanciert, in dem alle möglichen Daten zur Corona-Pandemie zusammengetragen werden und der Wissenschaft helfen sollen, das Virus zu bekämpfen.Microsoft lanciert Github-Integration in Teams
14. September 2020 - Die Integration von Github in Teams soll es Entwicklern ermöglichen, besser miteinander zu kommunizieren. So können diese unter anderem auch direkt in Teams Kommentare zu Tickets verfassen oder diese schliessen und wieder öffnen.Öffentliche Produkte-Roadmap von Github
30. Juli 2020 - Um den Kunden mehr Sicherheit bei der Planung und mehr Mitspracherecht zu geben, legt der Code-Hostingdienst Github seine Produkte-Roadmap künftig offen.Artikel kommentieren
