Уязвимость позволяет осуществить подстановку SQL-кода в GitHub
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Уязвимость позволяет осуществить подстановку SQL-кода в GitHub

Александр Панасенко 09 Января 2017 - 10:21
...
Уязвимость позволяет осуществить подстановку SQL-кода в GitHub

В GitHub Enterprise, варианте GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети на подконтрольном оборудовании, выявлена уязвимость, позволяющая через отправку специально оформленного запроса выполнить произвольный SQL-код на сервере.

В описании уязвимости приводится заслуживающий внимания рассказ об организации работы кода GitHub Enterprise, который во многом пересекается с кодом публичного сервиса GitHub. Пакет поставляется в виде образа виртуальной машины, доступной для бесплатного ознакомительного использования в течение 45 дней. Исходные тексты скрыты и поставляются в упакованном виде, напоминающем зашифрованный набор данных. Прозрачная распаковка в момент выполнения осуществляется при помощи библиотеки ruby_concealer.so, анализ которой показал, что метод упаковки сводится к сжатию кода при помощи Zlib::Inflate::inflate и применению операции XOR с предопределённым ключом, пишет opennet.ru.

После распаковки было выяснено, что большая часть кода написана на языке Ruby с использованием фреймворков Ruby on Rails и Sinatra, но также применяются компоненты на Python, Bourne Shell, C++ и Java. По мнению исследователя безопасности, код, отвечающий за работу web-сервисов, основан на реальной кодовой базе github.com, gist.github.com, render.githubusercontent.com и api.github.com. Получив доступ к коду исследователь, до этого не имевший дело c языком Ruby, потратил всего четыре дня на поиск возможных уязвимостей и выявил проблему в обработчике PreReceiveHookTarget, позволяющую осуществить подстановку SQL-кода через передачу специально оформленных данных через параметр "sort", отправив запрос к общедоступному Web API.

$ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
'https ://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????&sort=id,(select+1+from+information_schema.tables+limit+1,1)'
$ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
'https ://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????&sort=id,if(user()="github @localhost",sleep(5),user())'

GitHub был уведомлен о проблеме в конце декабря и устранил уязвимость в выпуске GitHub Enterprise 2.8.5. Выявившему уязвимость исследователю выплачено вознаграждение в размере 5 тысяч долларов США.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Путин поручил сохранить доступ к важным сервисам при отключениях интернета
Яков Шпунт 01 Июня 2026 - 12:26
Соответствие законодательству РФ Общее
Путин поручил сохранить доступ к важным сервисам при отключениях интернета

Президент Владимир Путин поручил правительству и Федеральной службе безопасности обеспечить бесперебойный доступ к ключевым интернет-сервисам даже в периоды ограничений, вводимых по соображениям безопасности. Ответственные за выполнение поручения должны отчитаться до 1 июля.

Это поручение вошло в перечень из 10 распоряжений, которые президент дал по итогам совещания с членами правительства, состоявшегося 23 апреля:

«Правительству Российской Федерации совместно с ФСБ России обеспечить бесперебойную работу важнейших сервисов, в том числе систем оказания медицинской помощи, федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)», платёжных систем, и доступ граждан к таким сервисам в период ограничения функционирования информационно-телекоммуникационной сети интернет».

Отчитаться о ходе исполнения поручения правительство и ФСБ должны не позднее 1 июля. Ответственными назначены председатель правительства Михаил Мишустин и директор ФСБ Александр Бортников.

«Белый список» ресурсов, которые должны оставаться доступными при ограничениях мобильного интернета, Минцифры обнародовало в сентябре 2025 года. С тех пор перечень несколько раз обновлялся. Тем не менее в периоды отключений пользователи нередко жаловались на недоступность таких ресурсов, в частности во время мартовских ограничений мобильного интернета в Москве.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
Уязвимость RegPwn позволяла повысить привилегии в Windows до SYSTEM
Новость
Уязвимость RegPwn позволяла повысить привилегии в Windows до...
Google срочно закрыла опасную 0-click уязвимость в Android
Новость
Google срочно закрыла опасную 0-click уязвимость в Android
Leek Likho подключила ИИ к атакам на российские организации
Новость
Leek Likho подключила ИИ к атакам на российские организации

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.