--->

Github behebt schwere Sicherheitslücke

Github behebt schwere Sicherheitslücke

(Quelle: Github)
24. November 2020 - Zwei Wochen, nachdem Google eine Sicherheitslücke in Github publik machte, hat die Microsoft-eigene Plattform das Problem behoben.
Github hat eine hochgradig schwerwiegende Sicherheitslücke behoben, die vom Google-Projekt Zero vor mehr als drei Monaten gemeldet wurde, wie "Zdnet.com" berichtet. Der Fehler betraf die Aktionsfunktion von Github – ein Tool zur Automatisierung des Entwickler-Workflows –, das laut Felix Wilhelm, einem Forscher von Googles Project Zero, "sehr anfällig für Injektionsangriffe" ist.

Während Google den Fehler als "hochgradig schwerwiegend" beschrieb, argumentierte Github, es handele sich um eine "moderate Sicherheitslücke". Google Project Zero legt normalerweise alle Fehler, die es findet, 90 Tage nach ihrer Meldung offen, bis zum 2. November hatte Github aber auch eine zusätzlich von Google gewährte Frist von 14 Tagen überschritten, ohne den Fehler behoben zu haben.

Einen Tag vor Ablauf der verlängerten Offenlegungsfrist teilte Github Google mit, dass es die anfälligen Befehle bis zum 2. November nicht beheben würde, und bat um zusätzliche 48 Stunden – nicht, um das Problem zu beheben, sondern um Nutzer zu benachrichtigen. Google veröffentlichte dann 104 Tage, nachdem es das Problem an Github gemeldet hatte, Einzelheiten zu dem Fehler.

Github kam letzte Woche schliesslich dazu, das Problem zu beheben, indem es die alten Befehle "set-env" und "add-path", wie von Felix Wilhelm vorgeschlagen, deaktivierte. Die Korrektur wurde am 16. November implementiert, oder zwei Wochen, nachdem Wilhelm das Problem öffentlich bekannt gegeben hatte. (swe)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER