Hacker News Siber güvenlik

Basecamp’taki Kritik Güvenlik Açığı Uzaktan Kod Yürütme Saldırılarına İzin Verebilir

Tüm yazılar

Basecamp, yakın zamanda uzaktan kod yürütme saldırılarına izin verebilecek kritik bir güvenlik açığını açıkladı. Neyse ki, Basecamp zaten bir düzeltme uyguladı ve hata artık yok.

Kritik Basecamp RCE Güvenlik Açığı

Bir güvenlik araştırmacısı, Basecamp platformunda uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığı buldu. Ayrıntılara göre, hata temelde, genellikle resim yükleme işlevinde bulunan profil resmi özelliğini etkiledi.

Basecamp’ın profil resmi yükleme işlevindeki kritik bir kusur, uzaktan komut yürütülmesine yol açar. Görüntüler sunucu tarafında dönüştürülür, ancak yalnızca görüntü dosyaları değil, PostScript / EPS dosyaları da kabul edilir (.gif olarak yeniden adlandırılırsa). Bunun nedeni muhtemelen ImageMagick / GraphicsMagick’in, girdi dosyası ‘%!’ İle başlıyorsa PostScript yorumlayıcısını (Ghostscript) çağıran görüntü dönüştürme için kullanılıyor olmasıdır. Ancak kullanılan Ghostscript sürümünde bir güvenlik hatası var.

Böylece, bir düşmanın, komutları yürütmek için yanlış görüntü dosyası uzantılarına sahip kötü amaçlı dosyaları yüklemesi mümkün hale geldi.

Hata, 9’dan 10’a kadar bir puanla kritik bir önem derecesi aldı.

Bu kusuru bildirdiği için Basecamp, araştırmacıyı 5000 $ ödülle ödüllendirdi.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

%d blogcu bunu beğendi: