#Netzwerk & Sicherheit · 4 Min. Lesezeit · Tim Rinkel

GITHUB-ALARM! Ein einziger git push zerlegt den ganzen Server – so sicherst du JETZT deine Repos!

GITHUB-ALARM! Ein einziger git push zerlegt den ganzen Server – so sicherst du JETZT deine Repos!

Ein einziger git push reicht. Mehr brauchten die Forscher von Wiz nicht, um auf GitHub-Servern beliebigen Code auszuführen. Die Lücke CVE-2026-3854 trägt CVSS 8.7 und betraf zeitweise sowohl GitHub.com als auch jede selbst gehostete Enterprise-Server-Instanz.

SCHOCK: Push-Option als Türöffner

Der Trigger ist banal. GitHub nahm User-Eingaben aus git push --push-option entgegen und reichte sie ungesäubert an interne Services weiter. Wer ein einziges Sonderzeichen einschmuggelte, hängte eigene Befehle an die Pipeline. Resultat: Code-Ausführung auf den Storage-Nodes – also genau dort, wo deine privaten Repos liegen.

Wiz brauchte für den Proof-of-Concept exakt einen Push und ein paar Anführungszeichen. Damit ließ sich auf Millionen privater Repositories zugreifen, die zufällig auf demselben Storage-Node lagen.

UNGLAUBLICH: 88 Prozent sind noch offen

GitHub.com hat den Fix am 4. März stillschweigend ausgerollt. Für die Enterprise Server kam der Patch am 10. März. Klingt nach erledigt – ist es aber nicht. Help Net Security misst nach: 88 Prozent der GHES-Instanzen tragen noch eine alte Version. Heißt: Acht von zehn Firmen, die GHES selbst hosten, sind im Mai 2026 weiter angreifbar.

Das Brisante daran: Jeder Mitarbeiter mit Push-Zugriff auf irgendein Repo kann den Fehler auslösen. Pentester, Praktikanten, Ex-Mitarbeiter mit Restzugang – alle können ohne Admin-Rechte den Server kapern.

So rettest du deinen Code-Bunker in 5 MINUTEN

Drei Schritte, sonst nichts:

  1. GHES auf den März-Hotfix heben. Im Enterprise-Portal liegt für jede unterstützte Linie ein Patch-Build bereit. Maintenance-Mode rein, Update-Paket einspielen, neu starten – fertig.
  2. Push-Optionen einschränken. Wer nicht sofort patchen kann, blockt verdächtige Push-Optionen per pre-receive-Hook oder schaltet das Feature komplett ab.
  3. Audit-Log durchforsten. Suche nach Push-Events mit ungewöhnlichen Sonderzeichen seit Anfang März. Wer da fündig wird, fährt direkt einen Incident-Response-Plan.

EXTRA-TIPP: SaaS-Nutzer ruhig schlafen

Wer GitHub.com nutzt, muss nichts tun. Der Fix lief automatisch, GitHub bestätigt nach Telemetriedaten keine aktive Ausnutzung. Nur GHES-Selbsthoster sind in der Pflicht – und davon eben fast alle.

FAZIT: Patchen oder Schlüssel rotieren

CVE-2026-3854 zeigt, wie wenig es braucht, um eine ganze Code-Plattform zu kippen. Ein Sonderzeichen, eine vergessene Sanitisierung, schon liegt der Server offen. Die Lücke ist gepatcht – aber nur, wenn du das Update auch wirklich einspielst. Bis dahin liegt der Schlüssel zu deinem Repo unter der Fußmatte.

Häufige Fragen

Welche Versionen sind betroffen?
Die Lücke betraf GitHub.com bis zum Hotfix am 4. März 2026 und alle GitHub Enterprise Server vor den am 10. März verteilten Patches. Wiz hat die RCE auf GHES 3.19.1 nachgestellt; ältere Linien (3.18, 3.17 mit Long-Term-Patches) müssen ebenfalls zwingend aktualisiert werden, sonst bleibt das System verwundbar.
Wie merke ich, ob mein System verwundbar ist?
Prüfe in der Admin-Konsole unter Site Admin → Versions die genaue GHES-Version. Liegt sie unter dem März-2026-Hotfix, ist der Server angreifbar, sobald irgendein Nutzer Push-Zugriff auf irgendein Repo hat. Self-Hosted-Runner-Logs zeigen außerdem ungewöhnliche git-Aufrufe mit Push-Optionen, die Sonderzeichen enthalten.
Wie behebe ich das Problem konkret?
Spiele die GHES-Hotfix-Version aus dem Enterprise-Portal ein, das ist der einzige saubere Fix. Wer noch nicht patchen kann, schaltet vorübergehend git push –push-option am Reverse-Proxy aus oder limitiert Push-Optionen per pre-receive-Hook auf eine kurze Whitelist. Danach Audit-Log auf verdächtige push-Operationen seit März prüfen.
Gab es schon aktive Angriffe?
GitHub bestätigt nach internen Telemetriedaten keinen aktiven Wild-Exploit. Wiz und Help Net Security warnen aber, dass 88 Prozent der GHES-Instanzen ungepatcht sind und der Trigger trivial ist. Es ist also nur eine Frage der Zeit, bis Exploit-Code öffentlich auftaucht – wer noch zögert, sollte das Wochenende fürs Update einplanen.

Quellen