Lekje in Sun Java JDK/SDK ontdekt
Er is een lek in Sun Java JDK/SDK ontdekt, dat door kwaadwillende personen misbruikt kan worden om een kwetsbaar systeem over te nemen. Het "less critical" lek wordt veroorzaakt door een input validatie fout wanneer er ".jar" bestanden met de Jar utility worden uitgepakt. Dit maakt het mogelijk om bestanden, door de"../" directory traversal sequentie, naar willekeurige lokaties uit te pakken. Het lek is aanwezig in Sun Java JDK 1.5.0_02 en Sun Java SDK 1.4.2_08, maar ook andere versies zouden kwetsbaar zijn. Er wordt aangeraden om geen bestanden van onbetrouwbare bronnen uit te pakken. (Secunia)
aangeleverd worden? Zou een applet dus bijvoorbeeld de
HOSTS-file kunnen aanpassen? (aangenomen dat de gebruiker
daar schrijfrechten heeft)
Weet iemand hoe ver dit gaat? Kan een applet in een Jar
aangeleverd worden? Zou een applet dus bijvoorbeeld de
HOSTS-file kunnen aanpassen? (aangenomen dat de gebruiker
daar schrijfrechten heeft)
ja dat kan.
Zou een applet dus bijvoorbeeld de HOSTS-file kunnen aanpassen?
wordt bij het uitpakken van de jar niet dezelfde code gebruikt als in de `jar utility'. Of zie jij nog openingen? http://bzzt.net/~arnouten/poc
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
