Basecamp, yakın zamanda uzaktan kod yürütme saldırılarına izin verebilecek kritik bir güvenlik açığını açıkladı. Neyse ki, Basecamp zaten bir düzeltme uyguladı ve hata artık yok.
Kritik Basecamp RCE Güvenlik Açığı
Bir güvenlik araştırmacısı, Basecamp platformunda uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığı buldu. Ayrıntılara göre, hata temelde, genellikle resim yükleme işlevinde bulunan profil resmi özelliğini etkiledi.
Basecamp’ın profil resmi yükleme işlevindeki kritik bir kusur, uzaktan komut yürütülmesine yol açar. Görüntüler sunucu tarafında dönüştürülür, ancak yalnızca görüntü dosyaları değil, PostScript / EPS dosyaları da kabul edilir (.gif olarak yeniden adlandırılırsa). Bunun nedeni muhtemelen ImageMagick / GraphicsMagick’in, girdi dosyası ‘%!’ İle başlıyorsa PostScript yorumlayıcısını (Ghostscript) çağıran görüntü dönüştürme için kullanılıyor olmasıdır. Ancak kullanılan Ghostscript sürümünde bir güvenlik hatası var.
Böylece, bir düşmanın, komutları yürütmek için yanlış görüntü dosyası uzantılarına sahip kötü amaçlı dosyaları yüklemesi mümkün hale geldi.
Hata, 9’dan 10’a kadar bir puanla kritik bir önem derecesi aldı.
Bu kusuru bildirdiği için Basecamp, araştırmacıyı 5000 $ ödülle ödüllendirdi.
Lamer Haber, Hack Haber, Hack News, Hack Haberleri, Son Dakika Haberleri 