Schwachstellen bei GitHub

Publiziert am 4. November 2020 von Günter Born

Sicherheitsforscher vom Google Project Zero haben eine als 'schwerwiegend' eingestufte Schwachstelle in GitHub aufgedeckt. Problem ist, dass die die Workflow-Befehle in GitHub Actions anfällig für Injections-Angriffe sind. die Befehle dienen als Kommunikationskanal zwischen den ausgeführten Actions und dem Action Runner. Angreifer könnten nicht vertrauenswürdige Inhalte übergeben. Die Sicherheitslücke wurde bereits am 21. Juli 2020 entdeckt und nach einer 90-Tage-Frist samt Verlängerung jetzt offen gelegt. Einen Patch gibt es noch nichts. Details lassen sich u.a. in diesem heise-Beitrag nachlesen.

Anzeige
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.