Open Source im professionellen Einsatz

GitHub Enterprise

GitHub Enterprise bedient Anwender unternehmsinterner Softwareentwicklung und deckt damit den professionellen Software-Sektor ab. Aktuell kostet der Service 2500 Dollar im Jahr pro 10 Benutzer. Der Anwender bekommt für sein Geld dann ein VirtualBox-Image, das er auf seiner Maschine laufen lassen kann. Interessanterweise ist der eigentlich GitHub-Code in diesem Image mit einem simplen Algorithmus verschlüsselt, so dass der Programmcode nicht sofort gelesen werden kann. Laut GitHub soll dies verhindern, dass Anwender durch ungeschickte Code-Manipulation Schaden anrichten. Allerdings lässt sich dieser Schutz leicht umgehen, da es sich lediglich um einfache XOR-Operationen handelt. Genau dies hat Markus Fenske getan, und damit zwei weitere gravierende Schwachstelle entdeckt. Die erlauben es Angreifern beliebige Befehle auszuführen. Das erste Problem tritt beim Signieren einer Ruby-on-Rails-Session auf. Der zweite Fehler entsteht durch eine fehlerhafte Nutzung der Marshall-Bibliothek. Der Angreifer ist dadurch in der Lage mit Hilfe der Managment Console beliebige Kommandos auszuführen. Zugriff auf die Console erlangt der dabei mit Hilfe von gefälschter Sitzungs-Cookies.

comments powered by Disqus

Ausgabe 06/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.