{"id":237243,"date":"2020-11-04T19:29:24","date_gmt":"2020-11-04T18:29:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237243"},"modified":"2020-11-04T19:29:24","modified_gmt":"2020-11-04T18:29:24","slug":"schwachstellen-bei-github","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/04\/schwachstellen-bei-github\/","title":{"rendered":"Schwachstellen bei GitHub"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Sicherheitsforscher vom Google Project Zero haben eine als 'schwerwiegend' eingestufte Schwachstelle in GitHub aufgedeckt. Problem ist, dass die die Workflow-Befehle in GitHub Actions anf\u00e4llig f\u00fcr Injections-Angriffe sind. die Befehle dienen als Kommunikationskanal zwischen den ausgef\u00fchrten Actions und dem Action Runner. Angreifer k\u00f6nnten nicht vertrauensw\u00fcrdige Inhalte \u00fcbergeben. Die Sicherheitsl\u00fccke wurde bereits am 21. Juli 2020 entdeckt und nach einer 90-Tage-Frist samt Verl\u00e4ngerung jetzt offen gelegt. Einen Patch gibt es noch nichts. Details lassen sich u.a. in <a href=\"https:\/\/www.heise.de\/news\/Googles-Project-Zero-deckt-Sicherheitsluecke-bei-GitHub-auf-4946535.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem heise-Beitrag<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sicherheitsforscher vom Google Project Zero haben eine als 'schwerwiegend' eingestufte Schwachstelle in GitHub aufgedeckt. Problem ist, dass die die Workflow-Befehle in GitHub Actions anf\u00e4llig f\u00fcr Injections-Angriffe sind. die Befehle dienen als Kommunikationskanal zwischen den ausgef\u00fchrten Actions und dem Action Runner. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/11\/04\/schwachstellen-bei-github\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-237243","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237243","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237243"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237243\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237243"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237243"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237243"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}