Sicherheitsforscher haben eine gefährliche Lücke im selbst gehosteten Git-Dienst Gogs gefunden – doch du kannst deinen Server mit wenigen Handgriffen schützen.
Was ist passiert? Forscher von Rapid7 haben eine kritische Sicherheitslücke in Gogs entdeckt. Gogs ist ein Programm, mit dem du eigene Git-Repositories auf einem privaten Server betreiben kannst – ähnlich wie GitHub, nur dass du die Kontrolle behältst. Die Lücke erlaubt es Angreifern, den gesamten Server zu übernehmen, wenn sie ein Benutzerkonto haben. Weil die Registrierung standardmäßig für alle offen ist, kann sich jeder selbst ein Konto erstellen. Weltweit sind rund 2.400 Gogs-Server direkt aus dem Internet erreichbar, fast 100 davon in Deutschland.
Wer hilft? Die Sicherheitsfirma Rapid7 hat die Lücke bereits im März an die Entwickler von Gogs gemeldet. Leider gab es danach keine weitere Reaktion und bis heute keinen Patch. Trotzdem hat Rapid7 nicht nur das Problem öffentlich gemacht, sondern auch gleich eine einfache Lösung mitgeliefert. Außerdem haben sie Prüfwerkzeuge veröffentlicht, mit denen Admins herausfinden können, ob ihr Server schon angegriffen wurde.