Sicherheitslücke in GitHub legt Umgebungsvariablen offen

Am 6. Mai 2024 berichtete Starlabs in einem Artikel auf GitHub.com über eine entdeckte Sicherheitslücke, die sowohl die Offenlegung aller Umgebungsvariablen eines Produktionscontainers auf GitHub.com als auch die Ausführung von Remote-Code auf GitHub Enterprise Servers (GHES) ermöglicht. Diese Entdeckung, die ursprünglich als geringfügig eingeschätzt wurde, stellte sich als eine der bedeutendsten Sicherheitslücken in der Geschichte von GitHub heraus.

Die Schwachstelle, bekannt unter der CVE-2024-0200 mit CVSS Score 9.8 / 10, wurde ursprünglich während einer Routineüberprüfung von GHES im Dezember 2023 entdeckt. Die volle Tragweite des Problems wurde jedoch erst nach Weihnachten erkannt, als Lin einige Zeit für eine tiefergehende Analyse fand. Wir haben bereits in einem früheren Artikel über die CVE-2024-0200 berichtet, damals waren die Details aber noch nicht bekannt. Der empfohlene Patch schliesst von Mitte Januar schliesst die Lücke jedoch.

Durch den unkontrollierten Zugriff auf die Kernel#send() Methode in Ruby – einer Funktion, die es erlaubt, Methoden auf Objekten dynamisch aufzurufen – konnte der Sicherheitsforscher Lin eine Methode in der Anwendung ausfindig machen, die alle Umgebungsvariablen eines Containers preisgab. Diese Variablen enthielten zahlreiche Zugangsschlüssel und Geheimnisse.

Noch besorgniserregender war die Möglichkeit, diesen Zugriff in eine Remote-Code-Ausführung auf GHES umzumünzen, obwohl GitHub.com selbst davon nicht direkt betroffen war. Die Enthüllung und Analyse dieser Schwachstelle unterstreicht die Notwendigkeit strengerer Sicherheitsprüfungen in der Softwareentwicklung und bei der Verwendung von Reflektionen in Programmiersprachen wie Ruby.

Related Posts

Wordpress LiteSpeed Cache Plugin: XSS Lücke ermöglicht Datenklau

Die kritische Sicherheitslücke CVE-2023-40000 im LiteSpeed Cache Plugin für WordPress ermöglicht es unautorisierten Nutzern, durch eine gespeicherte Cross-Site Scripting (XSS) Attacke erweiterte Berechtigungen auf WordPress-Websites zu erlangen. Das Plugin, das auf mehr als fünf Millionen Websites installiert ist, wird genutzt, um die Leistung der Seiten zu verbessern.

Read More

Chinesische Tastatur-Apps: 8 von 9 senden Eingaben in die Cloud

Eine Studie vom April 2024 warnt, dass 8 von 9 getesteten chinesischen Tastatur-Apps, das Abhören von Benutzereingaben ermöglichen. Die betroffenen Apps werden von namhaften Herstellern wie Baidu, Honor, Huawei (ohne festgestellte Schwachstellen), iFlytek, OPPO, Samsung, Tencent, Vivo und Xiaomi angeboten. Betroffen sind Android wie IOS. Die Sicherheitsanalyse konzentrierte sich auf die Übertragung von Benutzereingaben dieser Tastatur-Apps an Cloud-Server. Dabei wurden kritische Sicherheitslücken entdeckt, die es ermöglichen, die übertragenen Eingaben vollständig einzusehen. Dies birgt das Risiko, dass sensible Informationen wie Finanzdaten, Login-Daten und verschlüsselte Nachrichten abgefangen werden können.

Read More

Sicherheitslücke im SCADA Data Gateway von Triangle MicroWorks erlaubt Systemübernahme

Eine Sicherheitslücke im SCADA Data Gateway von Triangle MicroWorks ermöglicht es Angreifern, die Authentifizierung zu umgehen und beliebigen Code als Root auszuführen. Die Schwachstelle, identifiziert als CVE-2023-39457, erfordert keine Authentifizierung für die Ausnutzung und wurde mit einem CVSS-Score von 9.8 / 10 bewertet.

Read More