Die Sicherheitsforscher von Noscope beschreiben das Problem deutlich: Auf anfälligen Systemen bot die “privat”-Kennzeichnung von Container-Repositories keinerlei tatsächlichen Schutz. Jeder mit Internetzugang konnte private Container-Images so abrufen, als wären sie öffentlich – ohne Anmeldung, ohne Passwort, ohne vorherige Berechtigung.
Ausmaß und Dauer der Gefährdung
Die Forscher gehen von über 30.000 betroffenen Gitea-Installationen in mehr als 30 Ländern aus. Am schlimmsten trifft es China, die USA, Deutschland, Frankreich und Großbritannien. Das Besorgniserregende: Die Lücke war etwa vier Jahre lang aktiv, ohne dass sie öffentlich bekannt wurde. In dieser Zeit konnten Angreifer unbemerkt Zugang zu möglicherweise sensiblen Daten erhalten – von Quellcode über Konfigurationsdateien bis zu Credentials, die in Images eingebettet sein könnten.
Keine technischen Details verfügbar
Noscope hält sich bislang mit detaillierten technischen Informationen zur Ausnutzung zurück. Dies ist eine gängige Praxis, um Patch-Zeit zu geben. Wichtig ist jedoch die Warnung vor Forks: Jede Gitea-Abspaltung sollte als potenziell anfällig behandelt werden – bis die Maintainer die Lücke eigenständig bestätigt und gefixt haben. Das Projekt Forgejo, ein prominenter Gitea-Fork, ist bereits als anfällig bestätigt.
Handlungsempfehlungen
Das Gitea-Projektteam empfiehlt sofortiges Update auf Version 1.26.2. Wer das nicht unmittelbar durchführen kann, sollte als Notfalllösung [service].REQUIRE_SIGNIN_VIEW=true in der Gitea-Konfiguration setzen. Dies erzwingt Authentifizierung für alle Zugriffe – hat aber den Nachteil, dass auch bewusst öffentliche Container blockiert werden.
Deutsche Unternehmen sollten jetzt handeln: Überprüfen Sie sofort, welche Version Gitea läuft, ob private Container-Images gehostet werden, und updaten Sie zeitnah. Behörden und besonders sensible Einrichtungen sollten zudem prüfen, ob Datenschutzverletzungen zu melden sind – die DSGVO-Meldefrist beträgt 72 Stunden nach Bekanntwerden.