Quelle: Github
Github behebt schwere Sicherheitslücke
Zwei Wochen, nachdem Google eine Sicherheitslücke in Github publik machte, hat die Microsoft-eigene Plattform das Problem behoben.
24. November 2020
Github hat eine hochgradig schwerwiegende Sicherheitslücke behoben, die vom Google-Projekt Zero vor mehr als drei Monaten gemeldet wurde, wie "Zdnet.com" berichtet. Der Fehler betraf die Aktionsfunktion von Github – ein Tool zur Automatisierung des Entwickler-Workflows –, das laut Felix Wilhelm, einem Forscher von Googles Project Zero, "sehr anfällig für Injektionsangriffe" ist.
Während Google den Fehler als "hochgradig schwerwiegend" beschrieb, argumentierte Github, es handele sich um eine "moderate Sicherheitslücke". Google Project Zero legt normalerweise alle Fehler, die es findet, 90 Tage nach ihrer Meldung offen, bis zum 2. November hatte Github aber auch eine zusätzlich von Google gewährte Frist von 14 Tagen überschritten, ohne den Fehler behoben zu haben.
Einen Tag vor Ablauf der verlängerten Offenlegungsfrist teilte Github Google mit, dass es die anfälligen Befehle bis zum 2. November nicht beheben würde, und bat um zusätzliche 48 Stunden – nicht, um das Problem zu beheben, sondern um Nutzer zu benachrichtigen. Google veröffentlichte dann 104 Tage, nachdem es das Problem an Github gemeldet hatte, Einzelheiten zu dem Fehler.
Github kam letzte Woche schliesslich dazu, das Problem zu beheben, indem es die alten Befehle "set-env" und "add-path", wie von Felix Wilhelm vorgeschlagen, deaktivierte. Die Korrektur wurde am 16. November implementiert, oder zwei Wochen, nachdem Wilhelm das Problem öffentlich bekannt gegeben hatte. (swe)
Während Google den Fehler als "hochgradig schwerwiegend" beschrieb, argumentierte Github, es handele sich um eine "moderate Sicherheitslücke". Google Project Zero legt normalerweise alle Fehler, die es findet, 90 Tage nach ihrer Meldung offen, bis zum 2. November hatte Github aber auch eine zusätzlich von Google gewährte Frist von 14 Tagen überschritten, ohne den Fehler behoben zu haben.
Einen Tag vor Ablauf der verlängerten Offenlegungsfrist teilte Github Google mit, dass es die anfälligen Befehle bis zum 2. November nicht beheben würde, und bat um zusätzliche 48 Stunden – nicht, um das Problem zu beheben, sondern um Nutzer zu benachrichtigen. Google veröffentlichte dann 104 Tage, nachdem es das Problem an Github gemeldet hatte, Einzelheiten zu dem Fehler.
Github kam letzte Woche schliesslich dazu, das Problem zu beheben, indem es die alten Befehle "set-env" und "add-path", wie von Felix Wilhelm vorgeschlagen, deaktivierte. Die Korrektur wurde am 16. November implementiert, oder zwei Wochen, nachdem Wilhelm das Problem öffentlich bekannt gegeben hatte. (swe)
Weitere Artikel zum Thema
Viele Websites werden 2021 mit älteren Android-Versionen nicht mehr funktionieren
9. November 2020 - Let's Encrypt wird das Signieren neuer SSL-Zertifikate mit DST-Root X1 beenden. Konkret bedeutet das, dass Android-Smartphones mit Android 7.1 oder niedriger den Zugang zu einem substantiellen Teil des Internets verlieren werden.Microsoft, Nvidia, IBM und andere veröffentlichen Adversarial ML Threat Matrix
26. Oktober 2020 - Microsoft hat in Zusammenarbeit mit einem Dutzend Organisationen, darunter IBM, Nvidia, Airbus und Bosch, die Adversarial ML Threat Matrix veröffentlicht, ein Rahmenwerk, das Cyber-Sicherheits-Experten bei der Vorbereitung gegen Angriffe auf Machine-Learning-Modelle helfen soll.Artikel kommentieren
