<![CDATA[GitHub und GitHub Enterprise Server: Codeschmuggel per Push]]>GitHub und GitHub Enterprise Server: Codeschmuggel per Push

In GitHub und GitHub Enterprise Server können Angreifer mit Push-Rechten auf Repositories Schadcode einschleusen. Updates korrigieren das.

https://www.heise.de/news/GitHub-und-GitHub-Enterprise-Server-Codeschmuggel-per-Push-11276584.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

]]>https://board.circlewithadot.net/topic/f07c6117-c37e-46a7-a728-c1df9a0198bb/github-und-github-enterprise-server-codeschmuggel-per-pushRSS for NodeFri, 15 May 2026 02:54:15 GMTWed, 29 Apr 2026 11:59:00 GMT60<![CDATA[Reply to GitHub und GitHub Enterprise Server: Codeschmuggel per Push on Wed, 29 Apr 2026 12:15:30 GMT]]>@heisec
Ich habe den Post erst einmal gar nicht verstanden (bzw. auch Titel und Untertitel des Artikels), da es doch der ureigenste Zweck von Push ist, Code in ein Respository zu laden. Der Artikel gab dann Aufschluss:
"Durch das Ausnutzen eines Injection-Fehlers in den internen GitHub-Protokollen konnte jeder authentifizierte Nutzer beliebige Befehle auf den Backend-Servern von GitHub ausführen, mit einem einzigen „git push“-Befehl.", d.h. es geht um das Einschleusen in den Server selbst.

]]>https://board.circlewithadot.net/post/https://social.tchncs.de/users/EinPhysiker/statuses/116487941654303082https://board.circlewithadot.net/post/https://social.tchncs.de/users/EinPhysiker/statuses/116487941654303082Wed, 29 Apr 2026 12:15:30 GMT