Eine Sicherheitsschwachstelle bei GitHub
wurde vom Team hinter Googles Project Zero aufgedeckt. Die Aufgabe
von Project Zero ist das aufspüren von Schwachstellen und Fehler
in Googles eigener Software sowie in von anderen Unternehmen entwickelter
Software auf. Sollte das Team eine Schwachstelle identifiziert haben,
gibt sie dies direkt an die Anbieter weiter. Daraufhin hat der Anbieter
90 Tage Zeit, um die Fehler zu beheben, bevor diese der Öffentlichkeit
preisgegeben werden.
Die bei GitHub gefundene Schwachstelle stuft das Project Zero als
hoch ein. Das Problem liegt darin, dass die Workflow-Befehle, die
als Kommunikationskanal
zwischen den ausgeführten Actions und dem Action Runner dienen,
in GitHub Actions wohl extrem anfällig für Injections-Angriffe
seien. Ein Prgramm wird von einem Angreifer nicht vertrauenswürdige
Inhalte übergeben, die das System verändern und stören
können.
Die Sicherheitslücke wurde gemäß der Timeline im
"Issue 2070" des Project Zero bereits am 21. Juli 2020
entdeckt. Somit ist die Frist für GitHub am 18. Oktober abgelaufen.
(hv, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|