Die "Sicherheitslücke" bei Spiegel Online

[Traumflug]

Das "Sicherheitslücke" schreibe ich mal in Anführungszeichen, denn es geht um Git, das sowieso keine Sicherheitsmechanismen hat. Was nicht ist, kann auch keine Lücke haben.

Es geht um das hier:

Zehntausende Server deutscher Firmen von Sicherheitsproblem betroffen

Es geht da offensichtlich um (zahlreiche) Server, die Git für die Versionierung des Inhalts verwenden und das Git-Repo direkt auf dem öffentlichen Server haben. Sperrt man dieses Repo nicht, ist es öffentlich zugänglich. Damit kann man das Repo auslesen, z.B. die rohen PHP-Dateien.

Problem erkennen.

Wie im Artikel schon steht, kann man einfach die passende URL versuchen auszulesen:

https://meinedomain.de/.git/config

Kommt da was anderes als 403 oder 404 zurück, ist das ein Problem.

Abhilfe.

1. Das Verzeichnis /.git in Apache/Nginx sperren.

2. (besser) Das Git-Repo anderswo unterbringen und nach Änderungen den Inhalt der Webseite mit FTP oder Rsync hochladen. Natürlich ohne das Verzeichnis .git.

Plesk/cPanel und einige andere haben ein Feature, mit dem man Git-Repos "live" machen kann. Jeder Commit in das Repo wird automatisch auf die öffentliche Seite hochgeladen. In wie weit diese Funktion betroffen ist, kann ich nicht sagen. Geheuer war mir das jedoch noch nie, denn beim committen in ein Repo sind Flüchtigkeitsfehler eigentlich an der Tagesordnung, das will man nicht ungeprüft öffentlich haben. Man kann das jedoch auch wie oben beschrieben heraus finden.

[Sonni]

Guten Morgen,

wenn nichts angezeigt wird, ist das ein schlechtes Zeichen?

Gruß

Sonni

[wakabayashi]

Was heisst nichts? 🙂 leere weisse Seite?

[Sonni]

ja, einfach eine leere weiße Seite😊

[Traumflug]

Welche Seite ist das denn?