GitHub gehackt mit Ruby on Rails Public Key Schwachstellen

GitHub gehackt mit Ruby on Rails Public Key Schwachstellen

 Github, der Service, dass viele professionelle Programmierer, um ihre Arbeit zu speichern und gemeinsam zu nutzen Codierung, wurde am Wochenende gehackt. Eine junge russische Entwickler Egor Homakov ausgebeutet eine klaffende Lücke in GitHub, die ihn (oder jemand anderem mit grundlegenden Hacker-Know-how) an Administrator den Zugriff auf Projekte wie Ruby on Rails, Linux und Millionen anderer Menschen zu gewinnen erlaubt.

Wenn Github gesehen, was passiert, ausgesetzt Homakov sie das Konto, das einen Feuersturm des Protestes geschaffen. Ein Blog-Post berechtigt, Github, Have You Let Us All Down . Github hat zu einer Public-Key-Schwachstelle in Ruby on Rails ermöglicht einen Benutzer Administrator Zugriff auf das beliebte Rails Git erlegen. Homakov Aktionen waren relativ einfach - er bloß seinen öffentlichen Schlüssel an das Repository hochgeladen werden, damit Git dachte, er sei ein genehmigter Administrator des betreffenden Projekts. Dies würde nicht nur berechtigen Homakov, um Dateien zu begehen, aber er konnte effektiv wischen Sie das gesamte Projekt und seine Geschichte sauber.

"Die Ursache der Schwachstelle war ein Misserfolg für eine wirksame Kontrolle eingehenden Parameter Form, ein Problem, wie die Masse-Zuordnung Schwachstelle bekannt", GitHub Mitgründer Tom Preston-Werner schrieb in einem Blog-Post .

"Vor zwei Tagen er verantwortungsbewusst offengelegt eine Sicherheitslücke zu uns und wir haben mit ihm gearbeitet, um es rechtzeitig zu beheben. Heute ist er gefunden und ausgebeutet den öffentlichen Schlüssel Form Update Sicherheitslücke ohne verantwortungsvolle Offenlegung", sagte Preston-Werner erklärte, dass dies gemeint hatte Homakov hatte GitHub den allgemeinen Geschäftsbedingungen gebrochen.

Github ist durch eine Reihe von hochkarätigen Projekten wie dem Linux-Kernel verwendet. Homakev Aktionen waren, um eine bekannte Schwäche von Ruby on Rails und Fragen könnten, warum Github die Administratoren nicht zu blockieren, einen solchen Angriff früher gefragt, zu nutzen.

Moving forward, GitHub hat zur Verschleierung entschuldigte sich der wie White Hat Hackers sollte Sicherheitslücken offen zu legen und ein neues Hilfe-Seite, die deutlich zeigt, wie Sie Probleme melden.