5
Github - Mehrere zum Teil kritische Sicherheitslücken in der CVE-DB aufgetaucht!
Moin Zusammen,
mir ist soeben aufgefallen, dass es in den letzten 8 Tagen betreffend Github, mehrere zum Teil kritische Einträge in der CVE Datenbank aufgetaucht sind.
Weitere Details:
https://www.cvedetails.com/cve/CVE-2024-56357/
https://www.cvedetails.com/cve/CVE-2024-56358/
https://www.cvedetails.com/cve/CVE-2024-56359/
https://www.cvedetails.com/cve/CVE-2024-56361/
https://www.cvedetails.com/cve/CVE-2024-56362/
https://www.cvedetails.com/cve/CVE-2024-56363/
https://www.cvedetails.com/cve/CVE-2024-56364/
https://www.cvedetails.com/cve/CVE-2024-56375/
https://www.cvedetails.com/cve/CVE-2024-56507/
https://www.cvedetails.com/cve/CVE-2024-56508/
https://www.cvedetails.com/cve/CVE-2024-56509/
https://www.cvedetails.com/cve/CVE-2024-56510/
😬😭
Gruss Alex
mir ist soeben aufgefallen, dass es in den letzten 8 Tagen betreffend Github, mehrere zum Teil kritische Einträge in der CVE Datenbank aufgetaucht sind.
Weitere Details:
https://www.cvedetails.com/cve/CVE-2024-56357/
https://www.cvedetails.com/cve/CVE-2024-56358/
https://www.cvedetails.com/cve/CVE-2024-56359/
https://www.cvedetails.com/cve/CVE-2024-56361/
https://www.cvedetails.com/cve/CVE-2024-56362/
https://www.cvedetails.com/cve/CVE-2024-56363/
https://www.cvedetails.com/cve/CVE-2024-56364/
https://www.cvedetails.com/cve/CVE-2024-56375/
https://www.cvedetails.com/cve/CVE-2024-56507/
https://www.cvedetails.com/cve/CVE-2024-56508/
https://www.cvedetails.com/cve/CVE-2024-56509/
https://www.cvedetails.com/cve/CVE-2024-56510/
😬😭
Gruss Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670388
Url: https://administrator.de/knowledge/github-mehrere-zum-teil-kritische-sicherheitsluecken-in-der-cve-db-aufgetaucht-670388.html
Ausgedruckt am: 02.02.2025 um 05:02 Uhr
5 Kommentare
Neuester Kommentar
Ich verstehe ehrlich nicht gesagt, was du uns mit den CVE-Einträgen sagen willst. Die Sicherheitslücken betreffen irgendwelche Pakete, die auf Github gehostet werden. Nicht einmal welche, die besonders bekannt oder weit verbreitet sind.
1
Moin,
also wenn jetzt auch die Security Advisories von GitHub bzw. dort öffentlichen Repositories in die CVE Datenbanken dieser Welt gepumpt werden, dann gute Nacht. Ich hoffe, da war jemand zu über eifrig und das war ein einmaliger Ausrutscher?!
Gruß,
Dani
also wenn jetzt auch die Security Advisories von GitHub bzw. dort öffentlichen Repositories in die CVE Datenbanken dieser Welt gepumpt werden, dann gute Nacht. Ich hoffe, da war jemand zu über eifrig und das war ein einmaliger Ausrutscher?!
Gruß,
Dani
Moin @Dragon0001,
Moin @Dani,
Mir sind gestern bei der durchsicht der CVE-DB, die oben erwähnten CVE's aufgefallen und bei einer kurzen Durchsicht habe ich nicht wirklich erkennen können, ob es sich bei den entsprechenden CVE's um irgendwelche für GitHub notwendigen Pakete handelt oder nur um welche die dort gehostet werden.
Ich kenne mich mit GitHub ehrlich gesagt aber auch nur sehr rudimentär aus.
Da die CVE Einträge zum Teil jedoch einen hohen Score hatten, wollte ich diese nicht unerwähnt lassen.
Heisst das nun, dass alle oben genannten CVE's nur Fremdcode betreffen, der mit GutHub selber nichts zu tun hat, ausser, dass er dort gehostet wird?
Wenn das wirklich so ist, sprich, dass diese CVE's nicht GitHub direkt betreffen, sondern nur den Inhalt der dort gehostet wird, dann finde ich diese Aktion auch eher sehr suboptimal. 😔
Gruss Alex
Moin @Dani,
Ich verstehe ehrlich nicht gesagt, was du uns mit den CVE-Einträgen sagen willst.
Mir sind gestern bei der durchsicht der CVE-DB, die oben erwähnten CVE's aufgefallen und bei einer kurzen Durchsicht habe ich nicht wirklich erkennen können, ob es sich bei den entsprechenden CVE's um irgendwelche für GitHub notwendigen Pakete handelt oder nur um welche die dort gehostet werden.
Ich kenne mich mit GitHub ehrlich gesagt aber auch nur sehr rudimentär aus.
Da die CVE Einträge zum Teil jedoch einen hohen Score hatten, wollte ich diese nicht unerwähnt lassen.
Die Sicherheitslücken betreffen irgendwelche Pakete, die auf Github gehostet werden. Nicht einmal welche, die besonders bekannt oder weit verbreitet sind.
Heisst das nun, dass alle oben genannten CVE's nur Fremdcode betreffen, der mit GutHub selber nichts zu tun hat, ausser, dass er dort gehostet wird?
also wenn jetzt auch die Security Advisories von GitHub bzw. dort öffentlichen Repositories in die CVE Datenbanken dieser Welt gepumpt werden, dann gute Nacht. Ich hoffe, da war jemand zu über eifrig und das war ein einmaliger Ausrutscher?!
Wenn das wirklich so ist, sprich, dass diese CVE's nicht GitHub direkt betreffen, sondern nur den Inhalt der dort gehostet wird, dann finde ich diese Aktion auch eher sehr suboptimal. 😔
Gruss Alex
Zitat von @MysticFoxDE:
Heisst das nun, dass alle oben genannten CVE's nur Fremdcode betreffen, der mit GutHub selber nichts zu tun hat, ausser, dass er dort gehostet wird?
Heisst das nun, dass alle oben genannten CVE's nur Fremdcode betreffen, der mit GutHub selber nichts zu tun hat, ausser, dass er dort gehostet wird?
Genau, das wird schnell klar, wenn man sich die Beschreibung der Lücken und die Links zu den Repositories anschaut. Beispiel bei der ersten Lücke "grist-core is a spreadsheet hosting server." Betroffen ist hier also "grist-core".
Moin @Dragon0001,
dir ist das vielleicht schon klar, mir als quasi GitHub Laie ist es jedoch keineswegs auf den ersten Blick ersichtlich, dass dieses Repository eben nichts direkt mit GitHub selber zu tun hat, sondern dass nur der Code dort gehostet wird.
In der entsprechenden Meldung selber ...
https://www.cvedetails.com/cve/CVE-2024-56357/
... wird auch leider nicht klar und deutlich der entsprechende Lieferant/Hersteller/Vendor, sprich, ...
https://www.getgrist.com/
... genannt. 😔
Auch bei NIST ...
https://nvd.nist.gov/vuln/detail/CVE-2024-56357
... kann man den Hersteller den es betrifft, aus der Meldung nicht wirklich gut/eindeutig erkennen.
Lediglich bei cve.org ...
https://www.cve.org/CVERecord?id=CVE-2024-56357
... sieht man meiner Ansicht nach schon etwas eindeutiger, dass diese Meldung Gristlabs und nicht GitHub betrifft.
Leider kann man bei cve.org zwar nach bestimmten CVE's suchen, ich habe jedoch bisher noch keine Möglichkeit gefunden, dass mir diese Seite z.B. alle neu hinzugekommenen CVE's der letzten paar Tage auflistet.
Oh man, anstelle, dass die Dinge mal einfacher werden, wird es ständig nur noch verwirrender. 😔
Gruss Alex
Genau, das wird schnell klar, wenn man sich die Beschreibung der Lücken und die Links zu den Repositories anschaut. Beispiel bei der ersten Lücke "grist-core is a spreadsheet hosting server." Betroffen ist hier also "grist-core".
dir ist das vielleicht schon klar, mir als quasi GitHub Laie ist es jedoch keineswegs auf den ersten Blick ersichtlich, dass dieses Repository eben nichts direkt mit GitHub selber zu tun hat, sondern dass nur der Code dort gehostet wird.
In der entsprechenden Meldung selber ...
https://www.cvedetails.com/cve/CVE-2024-56357/
... wird auch leider nicht klar und deutlich der entsprechende Lieferant/Hersteller/Vendor, sprich, ...
https://www.getgrist.com/
... genannt. 😔
Auch bei NIST ...
https://nvd.nist.gov/vuln/detail/CVE-2024-56357
... kann man den Hersteller den es betrifft, aus der Meldung nicht wirklich gut/eindeutig erkennen.
Lediglich bei cve.org ...
https://www.cve.org/CVERecord?id=CVE-2024-56357
... sieht man meiner Ansicht nach schon etwas eindeutiger, dass diese Meldung Gristlabs und nicht GitHub betrifft.
Leider kann man bei cve.org zwar nach bestimmten CVE's suchen, ich habe jedoch bisher noch keine Möglichkeit gefunden, dass mir diese Seite z.B. alle neu hinzugekommenen CVE's der letzten paar Tage auflistet.
Oh man, anstelle, dass die Dinge mal einfacher werden, wird es ständig nur noch verwirrender. 😔
Gruss Alex
