CERT-Bund warnt vor XSS‑Schwachstelle im Microsoft GitHub Enterprise Server

CERT-Bund hat in einer Sicherheitsberatung darauf hingewiesen, dass ein entfernter, authentisierter Angreifer eine Schwachstelle im Microsoft GitHub Enterprise Server ausnutzen kann, um Cross‑Site‑Scripting (XSS) durchzuführen.

Technische Details

Die Lücke ermöglicht es einem Angreifer, nach erfolgreicher Authentifizierung schädlichen JavaScript‑Code in vom Server generierten HTML‑Seiten einzuschleusen. Der Code wird dann im Browser des Opfers ausgeführt, wodurch Sitzungs‑Cookies, Anmeldedaten oder weitere vertrauliche Informationen abgegriffen werden können.

Betroffene Systeme

Betroffen sind Installationen von Microsoft GitHub Enterprise Server, die die verwundbare Version einsetzen und über eine Web‑Oberfläche erreichbar sind. Der Angriff erfordert, dass der Angreifer bereits über gültige Anmeldedaten verfügt.

Empfohlene Gegenmaßnahmen

Betreiber sollten unverzüglich prüfen, ob ihre Installation von der Schwachstelle betroffen ist, und gegebenenfalls das von Microsoft bereitgestellte Sicherheitspatch einspielen. Zusätzlich wird empfohlen, die Eingabevalidierung zu stärken und Content‑Security‑Policy‑Header zu aktivieren, um die Ausführung fremden JavaScript‑Codes zu verhindern.

Risikoabschätzung

Nach Angaben von CERT-Bund kann ein erfolgreicher Angriff zu einer vollständigen Kompromittierung der betroffenen Web‑Anwendung führen. Da die Ausnutzung authentifizierte Zugriffe erfordert, liegt das Risiko insbesondere bei schwachen Passwortpraktiken oder gestohlenen Anmeldedaten.

Weiteres Vorgehen

Betreiber werden angehalten, die veröffentlichten Sicherheitshinweise zu prüfen, ihre Systeme zu aktualisieren und interne Sicherheitsrichtlinien zu überprüfen. CERT-Bund bietet weitere Unterstützung über seine Hotline und das Online‑Portal an.

Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).