Thema: GitHub ...

[SiLæncer]

Über eine Schwachstelle im Web-Framework Ruby On Rails lassen sich nicht nur Beiträge schreiben und löschen. Der Russe Egor Homakov fand sogar einen Weg, den Quellcode beliebiger GitHub-Projekte zu manipulieren.

Zuvor hatte Hamovak den Fehler im Issue Tracker von GitHub gemeldet. Zuerst wiegelten die GitHub-Entwickler ab: Die Sicherung einer Anwendung sei Aufgabe des jeweiligen Entwicklers. Das Ticket wurde mehrfach geschlossen und wieder geöffnet. Daraufhin demonstrierte Homakov das Problem anhand einer prominenten Ruby-on-Rails-Anwendung: GitHub selbst.

Um die Aufmerksamkeit der Rails-Entwickler zu wecken, erzeugte er zuerst ein Issue mit einem 1001 Jahre in der Zukunft liegenden Datum. Dann trug er seinen Public Key in die Liste der Rails-Committers ein und fügte Code zum Rails Master Repository hinzu. Damit hatte er die gewünschte Aufmerksamkeit: GitHub löschte den Key, suspendierte Homakovs Konto und begann mit einer Analyse des Problems. Nach Beseitigung der Lücke veröffentlichte Homakov eine Anleitung, auf welchem Weg er GitHubs Rails-Anwendungen manipuliert hatte.

Die Hamakovs Hack zugrundeliegende "Mass-Assignment Vulnerability" ist schon länger bekannt. Es entstand, als Rails die Möglichkeit einführte, mit einem Aufruf gleichzeitig mehrere Attribute zu setzen. Die Rails Security Guide erklärt das Problem. Zudem wird dort beschrieben, wie man Attribute über Blacklists und Whitelists sperrt beziehungsweise freigibt. Da die Whitelisting-Funktion standardmäßig nicht aktiv ist, besteht die Lücke für viele Rails-Anwendungen weiterhin.

GitHub ist weiterhin mit der Code-Überprüfung beschäftigt. In einem Blog-Eintrag hielt die Firma fest, Homakov habe zwar zwei Tage zuvor ein Problem gemeldet, habe aber zusätzlich ohne Vorwarnung eine "Public Key Form Update Vulnerability" ausgenutzt. Das GitHub-Nutzerkonto von Homakov wurde mittlerweile wiederhergestellt. Auf den Hilfeseiten von GitHub findet sich jetzt eine Anleitung zur verantwortungsbewussten Meldung gefundener Sicherheitslücken.

Für andere Rails-Anwendung stellt das Mass-Assignment Issue weiterhin ein Problem dar. Entwicklern sollten daher ihren Code daraufhin untersuchen, ob ihre Systeme sich nach derselben Methode manipulieren lassen. Ein neuer Commit zum Rails-Code forciert die Whitelist für Attribute als Standardeinstellung – sie gilt allerdings nur für neu angelegte Anwendungen. Vermutlich wird die Änderung in einem Update zu Rails 3.2 veröffentlicht.

Quelle : www.heise.de

[SiLæncer]

Als Reaktion auf einen großflächigen Angriff hat der Code-Hoster GitHub eine große Anzahl von Nutzerpasswörtern zurückgesetzt. Die Betreiber der Seite stellten nach eigenen Angaben einen Angriff fest, bei dem über 40.000 unterschiedliche IP-Adressen beteiligt waren. Die Angreifer versuchten, Passwörter von GitHub-Konten langsam mit Gewalt zu knacken.

Schon während des Brute-Force-Angriffs hat GitHub Konten mit schwachen Passwörtern vorsorglich gesperrt und alle dazugehörigen OAuth-Token und SSH-Schlüssel ebenfalls ungültig gemacht. Einige Konten sollen trotzdem übernommen worden sein. Betroffene Nutzer wurden laut der Firma per E-Mail informiert.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Angreifer konnten via SSH-Verbindung prominente Projekte auf Github manipulieren, da oft schwache Schlüssel zum Einsatz kamen, die leicht knackbar sind.

Einige Github-Nutzer setzten auf schwache und verwundbare Schlüssel, um SSH-Verbindungen zu dem Quellcode-Hoster aufzubauen. Die konnten Angreifer aufbrechen und hätten so Zugang zu den Projekten gehabt. Das fand der Sicherheitsforscher Ben Cox heraus, als er mehr als 1,3 Millionen öffentliche SSH-Schlüssel von Github-Accounts untersuchte; die Schlüssel sind für jedermann einsehbar.

Dabei stellte sich heraus, dass viele SSH-Schlüssel aufgrund des sieben Jahre alten Debian-OpenSSL-Bugs verwundbar sind. Durch den Bug generierte OpenSSL unter Debian zwei Jahre lang stets eines von nur rund 32.000 Schlüsselpaaren. In diesem Fall konnten Angreifer den Schlüssel schlicht erraten.

Cox fand zudem heraus, dass einige Nutzer auf Schlüssel mit 512 oder sogar nur 256 Bit setzten. Beide kann man mit überschaubarer Rechenkraft knacken. Für das Aufbrechen eines 256-Bit-Schlüssels habe Cox mit einer Mittelklasse-CPU rund 25 Minuten gebraucht. Ein Großteil der Github-Nutzer setzt Cox zufolge aber schon SSH-Schlüssel mit 2048 Bit ein, was als sicher gilt.

Cox zufolge haben etwa Github-Projekte von Spotify, Python und der russischen Suchmaschine Yandex auf verwundbare Schlüssel gesetzt. Cox habe Github im März davon in Kenntnis gesetzt und neben den von ihm gefundenen verwundbaren Schlüsseln sollen auch die schwachen Schlüssel mittlerweile nicht mehr aktiv sein.

Quelle : www.heise.de