Github hat eine hochgradig schwerwiegende Sicherheitslücke behoben, die vom Google-Projekt Zero vor mehr als drei Monaten gemeldet wurde, wie "Zdnet.com"
berichtet. Der Fehler betraf die Aktionsfunktion von Github – ein Tool zur Automatisierung des Entwickler-Workflows –, das
laut Felix Wilhelm, einem Forscher von Googles Project Zero, "sehr anfällig für Injektionsangriffe" ist.
Während
Google den Fehler als "hochgradig schwerwiegend" beschrieb, argumentierte
Github, es handele sich um eine "moderate Sicherheitslücke". Google Project Zero legt normalerweise alle Fehler, die es findet, 90 Tage nach ihrer Meldung offen, bis zum 2. November hatte Github aber auch eine zusätzlich von Google gewährte Frist von 14 Tagen überschritten, ohne den Fehler behoben zu haben.
Einen Tag vor Ablauf der verlängerten Offenlegungsfrist teilte Github Google mit, dass es die anfälligen Befehle bis zum 2. November nicht beheben würde, und bat um zusätzliche 48 Stunden – nicht, um das Problem zu beheben, sondern um Nutzer zu benachrichtigen. Google veröffentlichte dann 104 Tage, nachdem es das Problem an Github gemeldet hatte, Einzelheiten zu dem Fehler.
Github kam letzte Woche schliesslich dazu, das Problem zu beheben, indem es die alten Befehle "set-env" und "add-path", wie von Felix Wilhelm vorgeschlagen, deaktivierte. Die Korrektur wurde am 16. November implementiert, oder zwei Wochen, nachdem Wilhelm das Problem öffentlich bekannt gegeben hatte.
(swe)