Jump to content
thirty bees forum

Recommended Posts

Posted

Das "Sicherheitslücke" schreibe ich mal in Anführungszeichen, denn es geht um Git, das sowieso keine Sicherheitsmechanismen hat. Was nicht ist, kann auch keine Lücke haben.

Es geht um das hier:

Zehntausende Server deutscher Firmen von Sicherheitsproblem betroffen

Es geht da offensichtlich um (zahlreiche) Server, die Git für die Versionierung des Inhalts verwenden und das Git-Repo direkt auf dem öffentlichen Server haben. Sperrt man dieses Repo nicht, ist es öffentlich zugänglich. Damit kann man das Repo auslesen, z.B. die rohen PHP-Dateien.

Problem erkennen.

Wie im Artikel schon steht, kann man einfach die passende URL versuchen auszulesen:

https://meinedomain.de/.git/config

Kommt da was anderes als 403 oder 404 zurück, ist das ein Problem.

Abhilfe.

1. Das Verzeichnis /.git in Apache/Nginx sperren.

2. (besser) Das Git-Repo anderswo unterbringen und nach Änderungen den Inhalt der Webseite mit FTP oder Rsync hochladen. Natürlich ohne das Verzeichnis .git.

Plesk/cPanel und einige andere haben ein Feature, mit dem man Git-Repos "live" machen kann. Jeder Commit in das Repo wird automatisch auf die öffentliche Seite hochgeladen. In wie weit diese Funktion betroffen ist, kann ich nicht sagen. Geheuer war mir das jedoch noch nie, denn beim committen in ein Repo sind Flüchtigkeitsfehler eigentlich an der Tagesordnung, das will man nicht ungeprüft öffentlich haben. Man kann das jedoch auch wie oben beschrieben heraus finden.

  • Like 1
  • Thanks 2

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...