Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Tag: perl

Krytyczna podatność RCE w GitLabie przez ExifTool. Badacz zgarnął 20 000 dolarów!

18 maja 2021, 15:00 | W biegu | komentarze 2
Krytyczna podatność RCE w GitLabie przez ExifTool. Badacz zgarnął 20 000 dolarów!

Gdy słyszymy, że jakiś badacz zarobił 20 000 dolarów, to z góry zakładamy, że cały proces eksploitacji był skomplikowany, a exploit to setki, jeśli nie tysiące linijek kodu. W przypadku podatności zidentyfikowanej przez Williama Bowlinga całość sprowadzała się do wgrania na serwer specjalnie spreparowanego pliku .jpg: Tak prezentuje się payload…

Czytaj dalej »

Możliwość wykonania dowolnego kodu w popularnej bibliotece ExifTool. Exploitem może być ~najzwyklejszy plik .jpg

06 maja 2021, 10:22 | W biegu | komentarzy 12
Możliwość wykonania dowolnego kodu w popularnej bibliotece ExifTool. Exploitem może być ~najzwyklejszy plik .jpg

Z samą biblioteką prawdopodobnie już się gdzieś spotkaliście, natomiast dość zaskakująca jest podatność CVE-2021-22204: W skrócie – odczytując metadane np. z podstawionego pliku .jpg (czy mp4) można spowodować wykonanie kodu na komputerze / serwerze ofiary. Przyczyna? Eval na danych wyciąganych z analizowanego pliku plus dość zagmatwany kod (perlowcy powiedzą –…

Czytaj dalej »