Nowa podatność RCE w GitLabie: Zarobki badacza a techniczne szczegóły ataku

Nowa podatność RCE w GitLabie: Zarobki badacza a techniczne szczegóły ataku

2021-05-18 15:00 Redakcja

W świecie cyberbezpieczeństwa pojawiła się nowa, krytyczna podatność RCE w GitLabie, odkryta przez badacza Williama Bowlinga, który za swoje odkrycie otrzymał nagrodę w wysokości 20 000 dolarów. Wiele osób może sądzić, że taki sukces wymagał skomplikowanych operacji i długiego kodowania, jednak w tym przypadku było zupełnie inaczej.

Atak opiera się na prostym mechanizmie: wystarczy wgrać specjalnie spreparowany plik .jpg na serwer GitLab. Podczas tego procesu, plik jest przekazywany do ExifTool, który, ignorując rozszerzenie, ocenia typ pliku na podstawie jego zawartości. To prowadzi do niebezpiecznej sytuacji, w której plik .jpg może zostać zinterpretowany jako inny format.

Jednym z bardziej niebezpiecznych formatów jest DjVu, który podczas przetwarzania uruchamia komendy eval na danych. Tego typu sytuacje mogą prowadzić do poważnych naruszeń bezpieczeństwa, co stawia GitLab w trudnej pozycji. Dlatego tak ważne jest, aby użytkownicy dbali o aktualizacje i bezpieczeństwo swoich serwerów.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.