Categories: Sicherheit

GitHub schließt von Google entdeckte Zero-Day-Lücke

GitHub hat eine Anfälligkeit in seiner Plattform beseitigt, allerdings erst zwei Wochen, nachdem sie von Google offengelegt wurde. Zuvor hatte die Microsoft-Tochter angekündigt, die von Googles Project Zero entdeckte Schwachstelle nicht zeitnah zu beseitigen.

Der Bug steckte in der Actions-Funktion, einem Tool zur Automatisierung von Arbeitsabläufen. Laut dem Google-Forscher Felix Wilhelm erlaubte die Schwachstelle sogenannte Injection-Angriffe. GitHub Actions unterstützt spezielle Workflow-Befehle zur Kommunikation zwischen einem Action Runner und der ausgeführten Aktion.

Üblicherweise legt Google alle Sicherheitslücken, die seine Mitarbeiter finden, nach Ablauf einer Frist von 90 Tagen offen. Darüber hinaus bietet das Unternehmen eine Fristverlängerung von 14 Tagen an, die GitHub ebenfalls nicht einhielt.

Einen Tag vor Ablauf der Fristverlängerung bat GitHub um einen weiteren Aufschub von 48 Stunden – allerdings nicht, um die Lücke zu schließen. Stattdessen kündigte GitHub an, es wolle seine Kunden über den Fehler informieren und einen Termin für die Bereitstellung eines Updates festlegen. Das nahm Google schließlich zum Anlass, seinen Fehlerbericht 104 Tage nach der Meldung an GitHub für die Öffentlichkeit freizugeben.

In der vergangenen Woche veröffentlichte GitHub schließlich einen Patch, zwei Wochen nach der Offenlegung durch Google. Er deaktiviert die Runner-Befehle „set-env“ und „add-path“, so wie es Wilhelm vorgeschlagen hatte.

In seinem Fehlerbericht weist der Forscher darauf hin, dass der Befehl „set-env“ benutzt werden kann, um im Rahmen eines Arbeitsschritts beliebige Umgebungsvariablen festzulegen. „Das große Problem bei diesem Merkmal ist, dass es sehr anfällig für Injektionsattacken ist. Da der Runner-Prozess jede an STDOUT gedruckte Zeile auf der Suche nach Workflow-Befehlen analysiert, ist jede GitHub-Aktion, die als Teil ihrer Ausführung nicht vertrauenswürdige Inhalte ausgibt, verwundbar“, so der Forscher. „In den meisten Fällen führt die Fähigkeit, beliebige Umgebungsvariablen zu setzen, zur einer Remotecodeausführung, sobald ein anderer Arbeitsablauf gestartet wird.“

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago