ΑρχικήSecurityΑποκαλύφθηκαν ευπάθειες στο Gogs Open-Source Git Service

Αποκαλύφθηκαν ευπάθειες στο Gogs Open-Source Git Service


Τέσσερα ευπάθειες που δεν έχουν επιδιορθωθεί, εκ των οποίων τρεις είναι κρίσιμες, έχουν αποκαλυφθεί στη self-hosted υπηρεσία ανοιχτού κώδικα Git Gogs.

Gogs

Αυτά τα κενά θα μπορούσαν να επιτρέψουν σε έναν εξουσιοδοτημένο hacker να παραβιάσει ευαίσθητα δεδομένα, να υποκλέψει ή να διαγράψει τον source-code, ακόμη και να εγκαταστήσει backdoors.

Σύμφωνα με τους ερευνητές της SonarSource, Thomas Chauchefoin και Paul Gerste, τα τρωτά σημεία είναι τα εξής:

CVE-2024-39930 (βαθμολογία CVSS: 9,9) – Argument injection στον ενσωματωμένο διακομιστή SSH
CVE-2024-39931 (βαθμολογία CVSS: 9,9) – Διαγραφή εσωτερικών αρχείων
CVE-2024-39932 (βαθμολογία CVSS: 9,9) – Argument injection κατά την προεπισκόπηση αλλαγών
CVE-2024-39933 (βαθμολογία CVSS: 7,7) – Argument injection κατά την προσθήκη ετικετών σε νέες κυκλοφορίες

H Newpark Resources χτυπήθηκε από Ransomware

SecNewsTV 8 Νοεμβρίου 2024, 18:40 18:40

#secnews #ai #robot 

Το πορτρέτο του Alan Turing, που δημιουργήθηκε από το ανθρωποειδές ρομπότ Ai-Da, πουλήθηκε σε δημοπρασία για 1,3 εκατομμύρια δολάρια.

Ο οίκος δημοπρασιών Sotheby's είπε ότι υπήρξαν 27 προσφορές για τον πίνακα με το όνομα "A.I. God", ο οποίος είχε αρχικά εκτιμηθεί ότι θα πουληθεί μεταξύ 120.000 $ και 180.000 $.

Ο οίκος δημοπρασιών είπε ότι πρόκειται για μια ιστορική πώληση, καθώς πρόκειται για το πρώτο έργο τέχνης που φιλοτέχνησε ένα ανθρωποειδές ρομπότ και πωλήθηκε σε δημοπρασία, και μάλιστα σε τόσο υψηλή τιμή.

Μάθετε περισσότερα: https://www.secnews.gr/628552/robot-ai-da-eftiakse-portreto-alan-turing-pou-polithike-gia-ekatommiria-dolaria/

00:00 Εισαγωγή
00:16 Πώληση πορτρέτου -προσφορές
00:39 Σημασία πώλησης
01:10 Σχόλια του ρομπότ για έργο - Turing
01:43 Χαρακτηριστικά και ικανότητες ρομπότ

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #ai #robot

Το πορτρέτο του Alan Turing, που δημιουργήθηκε από το ανθρωποειδές ρομπότ Ai-Da, πουλήθηκε σε δημοπρασία για 1,3 εκατομμύρια δολάρια.

Ο οίκος δημοπρασιών Sotheby's είπε ότι υπήρξαν 27 προσφορές για τον πίνακα με το όνομα "A.I. God", ο οποίος είχε αρχικά εκτιμηθεί ότι θα πουληθεί μεταξύ 120.000 $ και 180.000 $.

Ο οίκος δημοπρασιών είπε ότι πρόκειται για μια ιστορική πώληση, καθώς πρόκειται για το πρώτο έργο τέχνης που φιλοτέχνησε ένα ανθρωποειδές ρομπότ και πωλήθηκε σε δημοπρασία, και μάλιστα σε τόσο υψηλή τιμή.

Μάθετε περισσότερα: https://www.secnews.gr/628552/robot-ai-da-eftiakse-portreto-alan-turing-pou-polithike-gia-ekatommiria-dolaria/

00:00 Εισαγωγή
00:16 Πώληση πορτρέτου -προσφορές
00:39 Σημασία πώλησης
01:10 Σχόλια του ρομπότ για έργο - Turing
01:43 Χαρακτηριστικά και ικανότητες ρομπότ

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlVRbUhUcy1jNlBZ

Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.

SecNewsTV 8 Νοεμβρίου 2024, 13:48 13:48

Δείτε περισσότερα: Το νέο Zergeca botnet πραγματοποιεί DDoS επιθέσεις

Η επιτυχής αξιοποίηση των τριών πρώτων ευπαθειών θα μπορούσε να επιτρέψει σε έναν hacker να εκτελέσει αυθαίρετες εντολές στον Gogs server. Επιπλέον, το τέταρτο ελάττωμα δίνει τη δυνατότητα στους εισβολείς να διαβάζουν αυθαίρετα αρχεία, όπως πηγαίο κώδικα και μυστικά διαμόρφωσης.

Με άλλα λόγια, μέσω της κατάχρησης των προβλημάτων, ένας παράγοντας απειλής θα μπορούσε να διαβάσει τον πηγαίο κώδικα στην παρούσα κατάσταση, να τροποποιήσει οποιονδήποτε κώδικα, να διαγράψει όλο τον κώδικα, να στοχεύσει εσωτερικούς servers που είναι προσβάσιμοι από τον Gogs server, να μιμηθεί άλλους χρήστες και να αποκτήσει επιπλέον προνόμια.

Τούτου λεχθέντος, όλα τα τρωτά σημεία απαιτούν από τον hacker να διαθέτει έλεγχο ταυτότητας. Ειδικότερα, η αξιοποίηση του CVE-2024-39930 προϋποθέτει την ενεργοποίηση του ενσωματωμένου SSH server, τη χρήση συγκεκριμένης έκδοσης του env binary, και την κατοχή ενός έγκυρου ιδιωτικού κλειδιού SSH από τον παράγοντα απειλής.

Gogs

“Εάν η εγγραφή είναι ενεργοποιημένη στον Gogs, ο hacker μπορεί απλώς να δημιουργήσει έναν λογαριασμό και να προσθέσει το SSH κλειδί του,” ανέφεραν οι ερευνητές. “Διαφορετικά, θα χρειαστεί να παραβιάσουν έναν υπάρχοντα λογαριασμό ή να κλέψουν το ιδιωτικό SSH κλειδί ενός χρήστη.”

Διαβάστε ακόμη: Οι πρόσφατες Intel CPU επηρεάστηκαν από τη νέα επίθεση Indirector

Οι εγκαταστάσεις του Gogs σε Windows δεν είναι ευάλωτες, όπως δεν είναι και η εικόνα του Docker. Ωστόσο, οι εγκαταστάσεις σε Debian και Ubuntu είναι ευάλωτες λόγω της επιλογής “–split-string” που υποστηρίζεται από το env binary.

Πηγή: thehackernews

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS