Paketmanager: Homebrew vergisst Zugangstoken auf öffentlichem Server

Beim beliebten Paketmanager Homebrew für MacOS ist es möglich gewesen, unbefugt Commits im offiziellen Github-Repo des Projekts einzufügen. Grund war ein öffentlich einsehbarer Github-API-Token.

Der Entwickler Eric Holmes hat in der öffentlich zugänglichen Jenkins-Instanz des Homebrew-Projekts einen Zugangstoken für das Github-Verzeichnis des weitverbreiteten Paketmanagers für MacOS gefunden. Damit war es ihm eigenen Angaben zufolge möglich, Schreibrechte für die zentralen Repos ‚brew‘, ‚homebrew-core‘ und ‚formulae.brew.sh‘ zu erlangen und eigene Commits einzustellen […]

Quelle: Paketmanager: Homebrew vergisst Zugangstoken auf öffentlichem Server | Golem.de