Grave problema di sicurezza per Github, il popolare “repository” che da tempo rappresenta la casa telematica di importanti progetti open come Linux e Ruby. La vulnerabilità in oggetto si trovava proprio nel framework di sviluppo basato sul suddetto linguaggio di programmazione (Ruby on Rails), ed è stata individuata dal ricercatore di sicurezza russo Egor Homakov.
Homakov ha provato a segnalare il problema nel sistema di sviluppo collaborativo di Github, ma il suo primo tentativo è stato infruttuoso e il ricercatore ha così deciso di dare dimostrazione pubblica della gravità della questione sfruttando la vulnerabilità per ottenere l’accesso da amministratore a uno dei progetti ospitati su Github.
Garantitosi l’accesso al sistema, Homakov avrebbe potuto aggiungere ogni genere di file al progetto o anche eliminarlo in maniera definitiva dai server senza alcun problema. Banale il metodo usato per divenire amministratore, vale a dire il semplice upload della sua cripto-chiave pubblica al repository.
Homakov avrebbe potuto fare danni ma si è limitato ad attirare l’attenzione degli admin, guadagnandosi una sospensione temporanea e infine la chiusura del baco presente in Ruby on Rails. Il framework è stato in seguito ulteriormente aggiornato alla versione 3.2.2 per correggere altri problemi di sicurezza non connessi a quello scoperto dal ricercatore russo.
Alfonso Maruccia