Eine Sicherheitsschwachstelle bei GitHub wurde vom Team hinter Googles Project Zero aufgedeckt. Die Aufgabe von Project Zero ist das aufspüren von Schwachstellen und Fehler in Googles eigener Software sowie in von anderen Unternehmen entwickelter Software auf. Sollte das Team eine Schwachstelle identifiziert haben, gibt sie dies direkt an die Anbieter weiter. Daraufhin hat der Anbieter 90 Tage Zeit, um die Fehler zu beheben, bevor diese der Öffentlichkeit preisgegeben werden.

Die bei GitHub gefundene Schwachstelle stuft das Project Zero als hoch ein. Das Problem liegt darin, dass die Workflow-Befehle, die als Kommunikationskanal zwischen den ausgeführten Actions und dem Action Runner dienen, in GitHub Actions wohl extrem anfällig für Injections-Angriffe seien. Ein Prgramm wird von einem Angreifer nicht vertrauenswürdige Inhalte übergeben, die das System verändern und stören können.

Die Sicherheitslücke wurde gemäß der Timeline im "Issue 2070" des Project Zero bereits am 21. Juli 2020 entdeckt. Somit ist die Frist für GitHub am 18. Oktober abgelaufen.

(hv, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE