Sicherheitslücke in GForge gemeldet

Über eine Schwachstelle in GForge, der kommerziellen Variante von Sourceforge, können Angreifer per Symlink-Attacke eigene Skripte ausführen.

Laut einem Bericht der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 4.5.19 von GForge auf. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch die Erzeugung von temporären Dateien mit mangelhaften Zugriffsrechten. Durch gezieltes Setzen von symbolischen Links können Angreifer diese temporären Dateien mit beliebigen Skripten verknüpfen, die dann mit den Rechten des Originalbenutzers ausgeführt werden. Im Subversion Repository von GForge wurde die Sicherheitslücke bereits behoben. (vgw)