GitHub und GitHub Enterprise Server: Codeschmuggel per Push

heisec@social.heise.de

GitHub und GitHub Enterprise Server: Codeschmuggel per Push

In GitHub und GitHub Enterprise Server können Angreifer mit Push-Rechten auf Repositories Schadcode einschleusen. Updates korrigieren das.

https://www.heise.de/news/GitHub-und-GitHub-Enterprise-Server-Codeschmuggel-per-Push-11276584.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#GitHub #IT #Security #Sicherheitslücken #Updates #news

einphysiker@social.tchncs.de

@heisec
Ich habe den Post erst einmal gar nicht verstanden (bzw. auch Titel und Untertitel des Artikels), da es doch der ureigenste Zweck von Push ist, Code in ein Respository zu laden. Der Artikel gab dann Aufschluss:
"Durch das Ausnutzen eines Injection-Fehlers in den internen GitHub-Protokollen konnte jeder authentifizierte Nutzer beliebige Befehle auf den Backend-Servern von GitHub ausführen, mit einem einzigen „git push“-Befehl.", d.h. es geht um das Einschleusen in den Server selbst.