Aktualizacja komponentów dystrybucji Linuksa może wymagać restartu całego systemu lub tylko określonych serwisów. Popularnym rozwiązaniem wspomagającym wykonywanie aktualizacji w tym zakresie jest needrestart dołączony do bardzo popularnych dystrybucji jak Ubuntu czy Debian. TLDR: Badacze zidentyfikowali aż pięć podatności (w tym trzy kluczowe), pozwalających podnieść atakującemu (z dostępem do systemu) uprawnienia…
Czytaj dalej »
Gdy słyszymy, że jakiś badacz zarobił 20 000 dolarów, to z góry zakładamy, że cały proces eksploitacji był skomplikowany, a exploit to setki, jeśli nie tysiące linijek kodu. W przypadku podatności zidentyfikowanej przez Williama Bowlinga całość sprowadzała się do wgrania na serwer specjalnie spreparowanego pliku .jpg: Tak prezentuje się payload…
Czytaj dalej »
Z samą biblioteką prawdopodobnie już się gdzieś spotkaliście, natomiast dość zaskakująca jest podatność CVE-2021-22204: W skrócie – odczytując metadane np. z podstawionego pliku .jpg (czy mp4) można spowodować wykonanie kodu na komputerze / serwerze ofiary. Przyczyna? Eval na danych wyciąganych z analizowanego pliku plus dość zagmatwany kod (perlowcy powiedzą –…
Czytaj dalej »
Było już na sekuraku o deserializacji w Pythonie, Javie, czy PHP – wszystko w kontekście zdalnego wykonania kodu w aplikacji webowej. Dla odmiany polecam zerknąć na świeże opracowanie podobnej sytuacji – ale na przykładzie aplikacji napisanej w Perlu. –ms
Czytaj dalej »
