![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Der Anbieter Wiz\u2122 Cloud Security hat Anfang M\u00e4rz 2026 auf der Plattform GitHub eine RCE-Schwachstelle (CVE-2026-3854) entdeckt. Diese erm\u00f6glichte Angreifern die komplette \u00dcbernahme des Servers. Die GitHub-Entwickler haben aber kurzfristig reagiert und diese Schwachstelle geschlossen. Hier einige Information zu diesem Thema, was mir vor einigen Stunden untergekommen ist.<\/p>\n
<\/p>\n
Es war ein kurzer Tweet <\/a>von Wiz\u2122 Cloud Security, der mich auf das Thema aufmerksam machte. Es gab wohl einen Push-Befehl, der eine Remote Code Execution auf GitHub erm\u00f6glichte.<\/p>\n Die Sicherheitsl\u00fccke bei GitHub erm\u00f6glichte den unbefugten Zugriff auf Millionen von Repositorys anderer Nutzer und Organisationen, schreibt Wiz. Die Entdecker haben die Schwachstelle an GitHub gemeldet. Dort hat man noch am selben Tag reagiert und eine Korrektur auf GitHub.com bereitgestellt. Kunden, die einen GitHub Enterprise Server (GHES) betreiben, sollten den Patch unverz\u00fcglich einspielen.<\/p>\n Die Betreiber von GitHub haben das Problem im Blog-Beitrag Securing the git push pipeline: Responding to a critical remote code execution vulnerability<\/a> best\u00e4tigt.\u00a0Bereits am 4. M\u00e4rz 2026 erhielten die Betreiber von GitHub \u00fcber dern Bug-Bounty-Programm einen Sicherheitsbericht von Forschern bei Wiz. Es sei eine kritische Sicherheitsl\u00fccke beschrieben worden, die die Remote Code Ausf\u00fchrung auf github.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud mit Data Residency, GitHub Enterprise Cloud mit Enterprise Managed Users sowie auf GitHub Enterprise Server erm\u00f6glichte.<\/p>\n Das Problem besteht bei Push-Operationen durch Benutzer. L\u00e4dt ein Benutzer Code auf GitHub per Push hoch, durchl\u00e4uft dieser Vorgang mehrere interne Dienste. Im Rahmen dieses Prozesses werden Metadaten zum Upload, wie beispielsweise der Repository-Typ und die Umgebung, in der er verarbeitet werden soll, \u00fcber ein internes Protokoll zwischen den Diensten ausgetauscht.<\/p>\n Push-Optionen sind eine beabsichtigte Funktion von Git, die es Clients erm\u00f6glicht, w\u00e4hrend eines Push-Vorgangs Schl\u00fcssel-Wert-Zeichenfolgen an den Server zu senden. Die vom Benutzer bereitgestellten Werte wurden jedoch ohne ausreichende Bereinigung in die internen Metadaten \u00fcbernommen. Da das Format der internen Metadaten ein Trennzeichen verwendete, das auch in Benutzereingaben vorkommen konnte, war es einem Angreifer m\u00f6glich, zus\u00e4tzliche Felder einzuschleusen, die der nachgelagerte Dienst als vertrauensw\u00fcrdige interne Werte interpretierte. \u00dcber die Sicherheitsl\u00fccke war es deshalb m\u00f6glich, die Art und Weise, wie vom Benutzer bereitgestellte Git-Push-Optionen innerhalb dieser Metadaten verarbeitet wurden, auszunutzen.<\/p>\n Nachdem die Ursache am 4. M\u00e4rz 2026 um 17:45 Uhr UTC ermittelt worden war, entwickelte das GitHub-Team noch am selben Tag um 19:00 Uhr UTC eine Korrektur und stellte diese auf github.com bereit. Die Korrektur stellt sicher, dass vom Benutzer bereitgestellte Werte f\u00fcr Push-Optionen ordnungsgem\u00e4\u00df bereinigt werden und keine Auswirkungen mehr auf interne Metadatenfelder haben k\u00f6nnen. Nach bisherigen Analysen wurde die Schwachstelle noch nicht durch Dritte ausgenutzt.<\/p>\n In diesem Tweet<\/a> nehmen die Entwickler Stellung zu den Stabilit\u00e4tsproblemen (siehe GitHub-Desaster am 23.4.2026 \u2013 wer hat es kaputt gemacht?<\/a>) der letzten Monate erkl\u00e4ren die Ursachen.<\/p><\/blockquote>\n F\u00fcr GitHub Enterprise Server wurden Patches f\u00fcr alle unterst\u00fctzten Versionen (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, 3.20.0 oder h\u00f6her) vorbereitet und die CVE-2026-3854 ver\u00f6ffentlicht. Diese sind ab dem 28. April 2026 verf\u00fcgbar, und die Entwickler empfehlen allen GHES-Kunden dringend, sofort ein Upgrade durchzuf\u00fchren.<\/p>\n \u00c4hnliche Artikel:<\/strong> Der Anbieter Wiz\u2122 Cloud Security hat Anfang M\u00e4rz 2026 auf der Plattform GitHub eine RCE-Schwachstelle (CVE-2026-3854) entdeckt. Diese erm\u00f6glichte Angreifern die komplette \u00dcbernahme des Servers. Die GitHub-Entwickler haben aber kurzfristig reagiert und diese Schwachstelle geschlossen. Hier einige Information zu diesem … Weiterlesen ![\"WIZ](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/WizGitHub.jpg\" "\\"WIZ")
<\/a><\/p>\nGitHub best\u00e4tigt das Ganze<\/h2>\n
GitHub Enterprise Server patchen<\/h2>\n
\nMicrosofts GitHub-Deal: EU-Entscheidung am 19.10.2018<\/a>
\nGithub-\u00dcbernahme durch Microsoft\u2013gr\u00fcnes Licht der EU<\/a>
\nMicrosoft kauft JavaScript-Entwickler-Plattform npm, GitHub-Integration kommt<\/a>
\nFree Software Foundation h\u00e4lt Microsofts GitHub Copilot f\u00fcr unfair und nicht legal<\/a>
\nSoftware Feedom Conservacy fordert Open Source-Entwickler zum Exit bei GitHub auf<\/a>
\nSchwachstellen bei GitHub<\/a>
\nDatenleck: Microsoft AI-Forscher verlieren 38 TByte an internen Daten \u00fcber GitHub\/Azure Cloud-Speicher<\/a>
\nMicrosoft \"verbrennt\" wohl massiv Geld mit GitHub-Copilot<\/a>
\nVerlangt GitHub neuerdings eine Anmeldung?<\/a>
\nGitHub trainiert Copilot mit Benutzerdaten; Opt-out erforderlich<\/a>
\nMicrosoft Copilot: Werbung in GitHub Pull-Requests<\/a>
\nGitHub Copilot-Schwachstelle CVE-2025-59145 erlaubt Datenextraktion<\/a>
\nKritische Schwachstelle in Microsoft-GitHub-Repository<\/a>
\nMicrosoft stellt GitHub Copilot ab Juni 2026 auf \"Token-based\" Billing um<\/a>
\nGitHub-Desaster am 23.4.2026 \u2013 wer hat es kaputt gemacht?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"