Thought Leadership
Eine vier Jahre alte Sicherheitslücke in Gitea erlaubt den unbefugten Download privater Container-Images ohne Passwörter. Über 30.000 Server sind betroffen.
Sicherheitsforscher des britischen IT-Sicherheitsunternehmens Noscope haben eine schwerwiegende Sicherheitslücke in der quelloffenen Versionskontrollplattform Gitea aufgedeckt. Gitea wird von zahlreichen Organisationen weltweit als selbstgehostete Alternative zu kommerziellen Code-Verwaltungsdiensten eingesetzt, um die volle Kontrolle über die eigene Infrastruktur zu behalten. Die Schwachstelle blieb über einen Zeitraum von fast vier Jahren hinweg völlig unentdeckt.
Dies bedeutet, dass die fehlerhafte Implementierung über mehrere Versionszyklen hinweg im produktiven Quellcode verblieb, ohne von den internen Audits oder externen Prüfungen erfasst zu werden. Aufgrund dieser langen Zeitspanne müssen Systemverantwortliche davon ausgehen, dass potenzielle Angreifer über Jahre hinweg theoretisch die Möglichkeit hatten, geschützte Datenstrukturen und Entwicklungszweige unbemerkt zu infiltrieren. Die nachträgliche Aufdeckung dieser Altlast rückt die Überprüfung von integrierten Registern und automatisierten Zugriffsrechten erneut in den Fokus des IT-Sicherheitsmanagements.
Unbefugter Datenabruf ohne jegliche Zugangsdaten
Die unter der Registrierungsnummer CVE-2026-27771 geführte Schwachstelle betrifft das integrierte Container-Register von Gitea. Der zugrundeliegender Programmierfehler ermöglicht es entfernten Angreifern ohne vorherige Authentifizierung, private Container-Images von den betroffenen Gitea-Instanzen herunterzuladen. Für den erfolgreichen Abruf der Daten sind weder ein gültiges Benutzerkonto noch ein Passwort oder sonstige kryptografische Token erforderlich.
Jede Person im Internet kann die als privat gekennzeichneten Repositories über standardisierte API-Befehle ansprechen und die darin hinterlegten Abbilder extrahieren, als handele es sich um öffentlich freigegebene Daten. Laut den Analysten von Noscope lieferte die private Kennzeichnung eines Container-Repositorys auf den betroffenen Versionen nicht den Schutz, den Betreiber vernünftigerweise erwarten durften. Da Container-Images häufig sensible Konfigurationsdateien, proprietären Programmcode, interne Zugangsdaten oder API-Schlüssel enthalten, stellt dieser unautorisierte Datenabfluss ein massives Risiko für die allgemeine Datensicherheit dar.
Einzelhandel, Internet- und Gesundheitsdienstleister betroffen
Das Gesamtausmaß der globalen Gefährdung ist beträchtlich. Nach Schätzungen der Sicherheitsforscher sind weltweit mehr als 30.000 aktive Gitea-Bereitstellungen von dem Fehler betroffen. Die geografische Verteilung der exponierten Server erstrechnet sich über mehr als 30 Länder. Die überwiegende Mehrheit der anfälligen Instanzen lokalisierten die Analysten in China, den USA, Deutschland, Frankreich und Großbritannien.
Die Betroffenheit zieht sich durch vitale Wirtschaftszweige und hochsensible Sektoren. Zu den Organisationen, welche die betroffenen Gitea-Versionen einsetzen, gehören medizinische Dienstleister und Gesundheitseinrichtungen, Hersteller aus der Luft- und Raumfahrtindustrie, Betreiber von weltweiten Einzelhandelsinfrastrukturen sowie Internetdienstanbieter. Die Vielfalt der betroffenen Sektoren zeigt deutlich, dass das Risiko plattformübergreifend bewertet werden muss und vertrauliche Entwicklungsdaten im industriellen Umfeld direkt bedroht sind.
Potenzielle Betroffenheit von Abspaltungen
Ein zusätzliches Risiko ergibt sich aus der Verzweigung innerhalb des Open-Source-Ökosystems. Da Gitea als technische Basis für verschiedene Modifikationen und eigenständige Abspaltungen dient, weisen die Sicherheitsforscher darauf hin, dass jeder Fork von Gitea als potenziell von der Schwachstelle betroffen eingestuft werden muss. Dies gilt so lange, bis die jeweiligen Entwicklerteams eine unabhängige Überprüfung durchgeführt und die Fehlerfreiheit für ihre spezifische Code-Basis bestätigt haben.
In eigenen Testreihen bestätigte Noscope bereits, dass die bekannte Gitea-Abspaltung Forgejo ebenfalls von der fehlerhaften Rechteverarbeitung im Container-Register betroffen ist. Weitere spezifische technische Details zur genauen Code-Struktur des Exploits wurden zum Schutz der betroffenen Systeme vor einer sofortigen Massenausnutzung durch Cyberkriminelle vorerst unter Verschluss gehalten.
Technische Gegenmaßnahmen und Konfigurationsänderungen
Die Entwicklergemeinschaft hat das Problem in den neueren Software-Paketen behoben. Betroffen sind alle Gitea-Versionen vor der Version 1.26.2. Das Update auf diese oder eine higher Version schließt die Sicherheitslücke vollständig und stellt die ordnungsgemäße Zugriffskontrolle im Container-Register wieder her. Die Analysten verweisen zudem auf die Version 1.6.2 für einen optimalen Schutz. Sollte ein sofortiges Einspielen des Patches aus betrieblichen Gründen oder aufgrund von komplexen Kompatibilitätsprüfungen in der bestehenden IT-Infrastruktur nicht direkt möglich sein, existiert ein temporärer Workaround.
Administratoren können die unbefugten Zugriffe blockieren, indem sie in der zentralen Gitea-Konfigurationsdatei den Parameter service.REQUIRE_SIGNIN_VIEW auf den Wert true setzen. Diese Maßnahme zwingt das System dazu, für jede Ansicht und jeden Datenabruf eine vorherige Anmeldung zu verlangen. IT-Verantwortliche müssen jedoch abwägen, dass dieser Ansatz nicht ideal ist, wenn bestimmte Container-Images auf derselben Instanz absichtlich für die Öffentlichkeit bereitgestellt werden sollen, da die pauschale Anmeldepflicht auch diese legitimen Zugriffe blockiert. Ein vorausschauendes IT-Risikomanagement verlangt daher das schnellstmögliche Durchführen des regulären Software-Updates.
