Im Zentrum steht die Container-Registry von Gitea. Nach Darstellung von Noscope ließ sich diese so missbrauchen, dass jede beliebige Person im Internet — ohne Konto, ohne Passwort und ohne vorherigen Zugang — vermeintlich private Container-Images aus betroffenen Instanzen abrufen konnte, als wären sie öffentlich.
„Auf den betroffenen Versionen lieferte die Einstufung eines Container-Repositorys als privat nicht den Schutz, den Betreiber vernünftigerweise von ihr erwarten durften", erklärte Noscope. Die als privat gekennzeichneten Images seien auf den ersten Blick geschützt erschienen, hätten sich aber wie öffentliche abrufen lassen.
Die Reichweite ist beträchtlich: Das in Großbritannien ansässige Sicherheitsunternehmen geht von mehr als 30.000 betroffenen Installationen in über 30 Ländern aus. Die meisten Expositionen entfallen auf China, die USA, Deutschland, Frankreich und das Vereinigte Königreich. Unter den betroffenen Organisationen finden sich Gesundheitsdienstleister, Hersteller aus der Luft- und Raumfahrt, Einzelhandelsinfrastruktur sowie Internetdienstanbieter. Der Fehler blieb dem Unternehmen zufolge fast vier Jahre lang unbemerkt.
Noscope weist zudem darauf hin, dass jeder Fork von Gitea so lange als potenziell betroffen behandelt werden sollte, bis die jeweiligen Maintainer dies unabhängig geprüft haben. In eigenen Tests bestätigte sich, dass Forgejo betroffen ist. Weitere technische Details liegen bislang nicht vor.
Anwendern wird empfohlen, auf die Version zu aktualisieren, die das Problem behebt (1.26.2). Ist ein sofortiges Einspielen des Patches nicht möglich, lässt sich als vorübergehende Maßnahme in der Gitea-Konfiguration der Parameter [service].REQUIRE_SIGNIN_VIEW=true setzen. Dieser Behelf ist allerdings nicht ideal, wenn einzelne Container bewusst öffentlich zugänglich sein sollen.
