• Anasayfa
  • Haber
    • Siber Güvenlik Haberleri
    • Hack Haberleri
    • Teknoloji Haberleri
    • Güvenlik Açıkları
  • Video
  • Blog
  • Kategoriler
    • Web
      • Spam
      • VPN
      • Mail
      • Seo
      • Tarayıcı
        • Firefox
        • Google Chrome
        • Opera
      • Deep Web
    • Film
      • Anime
      • Dizi
    • Diğer
      • Apple
        • Macbook
        • AirPods
        • iCloud
      • Vodafone
      • Samsung
      • Program
      • Torrent
      • Sony
      • Virüs
      • Google
        • Google Adsense
      • Turkcell
      • Winrar
      • PDF
      • Yandex
      • Netflix
      • Exxen
      • Amazon
      • E-Kitap
      • İntel
      • Zoom
      • Hosting
      • Microsoft
        • Windows
      • Veri Güvenliği
      • Hacker Grupları
    • İnternet
      • Wi-Fi
      • Proxy
    • Kripto Para
      • Bitcoin
      • Dogecoin
      • Ethereum
      • Kripto Para Borsaları
    • Mobil Telefon
      • Huawei
      • İphone
    • Mobil Uygulamalar
      • Whatsapp
      • App Store
    • Otomobil
      • BMW
      • Elektrikli Arabalar
      • Peugeot
      • Renault
    • Oyun
      • Cyberpunk
      • GTA
      • Call of Duty
      • Apex Legends
      • PlayStation
      • Xbox
      • PUBG
      • Valorant
      • Fortnite
      • Origin
      • Steam
      • Epic Games
      • Far Cry
      • Battlefield
      • Point Blank
      • Lords Mobile
      • Uplay
      • Legend Online
      • Discord
      • Zula
    • Sosyal Medya
      • Facebook
      • Instagram
      • Linkedin
      • Reddit
      • Snapchat
      • Spotify
      • Telegram
      • Tiktok
      • Twitter
      • Twitch
      • Youtube
      • Clubhouse
    • Uzay
      • Mars
    • Yazılım
      • Android
      • Linux
        • Ubuntu
      • WordPress
      • Xenforo
      • Programlama
      • İOS
Sıcak Haberler
meditation g8ccc0de3d 640

En İyi Meditasyon Uygulamaları

18 Mayıs 2022
CMD Kullanarak İnterneti Hızlandırma

CMD Kullanarak İnterneti Hızlandırma

16 Mayıs 2022
Twitch Reklamlar Nasıl Engellenir?

Twitch Reklamlar Nasıl Engellenir?

4 Mayıs 2022
Facebook Twitter Instagram Youtube
  • Gizlilik Politikası
  • Hakkımızda
  • Reklam Ver
  • İletişim
Facebook Twitter Instagram Youtube
Siber Basın Siber Basın
  • Anasayfa
  • Haber
    • Siber Güvenlik Haberleri
    • Hack Haberleri
    • Teknoloji Haberleri
    • Güvenlik Açıkları
  • Video
  • Blog
  • Kategoriler
    • Web
      • Spam
      • VPN
      • Mail
      • Seo
      • Tarayıcı
        • Firefox
        • Google Chrome
        • Opera
      • Deep Web
    • Film
      • Anime
      • Dizi
    • Diğer
      • Apple
        • Macbook
        • AirPods
        • iCloud
      • Vodafone
      • Samsung
      • Program
      • Torrent
      • Sony
      • Virüs
      • Google
        • Google Adsense
      • Turkcell
      • Winrar
      • PDF
      • Yandex
      • Netflix
      • Exxen
      • Amazon
      • E-Kitap
      • İntel
      • Zoom
      • Hosting
      • Microsoft
        • Windows
      • Veri Güvenliği
      • Hacker Grupları
    • İnternet
      • Wi-Fi
      • Proxy
    • Kripto Para
      • Bitcoin
      • Dogecoin
      • Ethereum
      • Kripto Para Borsaları
    • Mobil Telefon
      • Huawei
      • İphone
    • Mobil Uygulamalar
      • Whatsapp
      • App Store
    • Otomobil
      • BMW
      • Elektrikli Arabalar
      • Peugeot
      • Renault
    • Oyun
      • Cyberpunk
      • GTA
      • Call of Duty
      • Apex Legends
      • PlayStation
      • Xbox
      • PUBG
      • Valorant
      • Fortnite
      • Origin
      • Steam
      • Epic Games
      • Far Cry
      • Battlefield
      • Point Blank
      • Lords Mobile
      • Uplay
      • Legend Online
      • Discord
      • Zula
    • Sosyal Medya
      • Facebook
      • Instagram
      • Linkedin
      • Reddit
      • Snapchat
      • Spotify
      • Telegram
      • Tiktok
      • Twitter
      • Twitch
      • Youtube
      • Clubhouse
    • Uzay
      • Mars
    • Yazılım
      • Android
      • Linux
        • Ubuntu
      • WordPress
      • Xenforo
      • Programlama
      • İOS
Siber Basın Siber Basın

Anasayfa»Güvenlik Açıkları»Apache Velocity XSS güvenlik açığı GOV siteleri etkiliyor
Güvenlik Açıkları

Apache Velocity XSS güvenlik açığı GOV siteleri etkiliyor

Siber BasınBy Siber Basın15 Ocak 2021Yorum yapılmamış5 dakika okuma süresi
Facebook Twitter Pinterestname LinkedIn Tumblr E-posta
Apache Velocity XSS güvenlik açığı GOV siteleri etkiliyor
Apache Velocity XSS güvenlik açığı GOV siteleri etkiliyor
Paylaş
Facebook Twitter LinkedIn Pinterestname E-posta

Apache Velocity Tools’daki açıklanmayan Siteler Arası Komut Dosyası (XSS) güvenlik açığı, kimliği doğrulanmamış saldırganlar tarafından NASA dahil olmak üzere devlet sitelerini hedeflemek için kullanılabilir .

Güvenlik açığının raporlanıp yamalanmasının üzerinden 90 gün geçmesine rağmen,  henüz güvenlik önlemleri alınmadı.

Apache Velocity, geliştiriciler tarafından  Model-View-Controller (MVC) mimarisinde görünümler tasarlamak için kullanılan Java tabanlı bir şablon motorudur  .

Velocity Tools, standart ve web uygulamaları içindeki Velocity entegrasyonunu daha da kolaylaştıran sınıflardan oluşan bir alt projedir.

Başlıklar

  • Apache Velocity Araçlarını kullanan Gov Sitelerinde Bulunuyor !
  • Apache: önem derecesine göre öncelik verilen güvenlik açığı raporları
  • CNA olarak hareket eden satıcılarla ilgili artan endişeler

Apache Velocity Araçlarını kullanan Gov Sitelerinde Bulunuyor !

Apache Velocity Tools,  aylar önce GitHub’da yayınlanan bir düzeltmeye rağmen tüm sürümlerini etkileyen, açıklanmayan bir XSS güvenlik açığına sahiptir .

Resmi bir güvenlik açığı açıklaması gerçekleşmemiş olsa da,   bu kusurun CVE-2020-13959 olarak dahili olarak izlendiği  bildirildi.

Sonatype’ın Nexus Intelligence sistemlerini sorguladığımda, bu kusuru içeren Apache Velocity Tools sınıfının npm, PyPI, Maven Central ve diğer açık kaynak depolarından indirilebilen 2.600’den fazla benzersiz ikili yazılım uygulamasına dahil edildiğini keşfettim. 

Bileşenin geliştiriciler arasındaki popülaritesi, Velocity Tools’u etkileyen güvenlik açıklarının zamanında ifşa edilmesini çok önemli hale getirir.

Sakura Samurai  etik hackleme grubundan güvenlik araştırmacısı Jackson Henry ,  ilk olarak 2020 Ekim ayı başlarında Apache’ye yönelik güvenlik açığını keşfetti ve bildirdi.

Proje, Henry’nin raporunu kabul etmiş ve 5 Kasım 2020’de GitHub’da halka açık bir düzeltme yayınlamış olsa da, Sakura Samuray  araştırmacılarını endişelendiren düzgün bir kamuya açıklama asla gerçekleşmedi .

Sakura Samurai'nin bir  başka üyesi, 90 gün geçtikten sonra CVE detaylarını yayınlamayan proje hakkında tweet att
Sakura Samurai’nin bir başka üyesi, 90 gün geçtikten sonra CVE detaylarını yayınlamayan proje hakkında tweet attı

Yansıyan XSS kusuru, VelocityViewServlet  görünüm  sınıfının hata sayfalarını nasıl oluşturduğunda mevcuttur .

Geçersiz bir URL’ye erişildiğinde, “şablon bulunamadı” hata sayfası, URL’nin kaynak yolu bölümünü potansiyel XSS komut dosyaları için çıkış yapmadan olduğu gibi yansıtır  .

Saldırgan sonuç olarak kurbanı böyle bir URL’yi tıklaması için kandırabilir, bu da kurbanı değiştirilmiş bir kimlik avı sayfasına götürür veya oturum açma bilgilerini çalabilir.

BleepingComputer’ın  gözlemlediği gibi  , savunmasız Apache Velocity Tools örnekleri, * .nasa.gov  ve * .gov.au dahil olmak üzere devlet web siteleri tarafından kullanılıyor .

nasa xss
NASA web sitesi alt etki alanı Apache Velocity Tools XSS kusuruna açık

Bu XSS istismarının daha karmaşık varyasyonları, bazı sosyal mühendislik hileleriyle birleştirildiğinde, saldırganların oturum açmış kullanıcıların oturum tanımlama bilgilerini toplamasına ve potansiyel olarak oturumlarını ele geçirmesine izin verebilir.

Bu, özellikle aşağıda gösterilenler gibi devlet alan adlarında barındırılan çalışan ve yüklenici oturum açma portalları ile ilgilidir.

Bir saldırganın * .gov.au  etki alanından oturum çerezleri almasına izin verebilen PoC XSS istismar
Bir saldırganın * .gov.au etki alanından oturum çerezleri almasına izin verebilen PoC XSS istismar

Apache: önem derecesine göre öncelik verilen güvenlik açığı raporları

İle temasa zaman BleepingComputer yorum için , gösterildiği gibi, Apache Software Foundation (ASF) Apache Güvenlik Ekibi yılda açığı raporları yüzlerce alır belirtti ve sorunun ciddiyetine bağlı olarak zamanında onlara cevap olduğunu onların yıllık güvenlik raporu .

“Apache Velocity araçlarındaki XSS güvenlik açığı ile ilgili olarak, Apache Güvenlik Ekibi ile ilk olarak 6 Ekim 2020’de Velocity Tools paketinin bir bölümünü etkileyen buldukları bir sorunu ifşa eden bir kişi (sorun muhabiri olarak anılır) ile iletişime geçti.”

“Bunu, raporu 7 Ekim’de araştırıp kabul eden ve muhabirin yamayı göndermesini öneren Apache Velocity Proje Yönetim Komitesi (PMC) ile özel olarak paylaştık.”

“Daha sonra muhabir bir talepte bulundu ve ekip birkaç hafta boyunca düzeltmeyi hassaslaştırmak için çalıştı. Bu düzeltme 5 Kasım’da uygulandı. Muhabir yamayı 8 Ekim’de herkese açık olarak sundu ve Güvenlik açığının kritik doğası gereği, Velocity ekibi kamuoyunda konu üzerinde çalışmaya devam etmeye karar verdi. “

ASF Güvenlik Başkan Yardımcısı Mark J Cox, BleepingComputer’a  yaptığı açıklamada , “Sorun dahili olarak 8 Ekim’de CVE-2020-13959 olarak atandı,” dedi  .

Proje için kalan bir sonraki adım, CVE’den bahsedecek sabit bir Hız Araçları sürümü ve tarihi henüz belirlenmemiş bir yükseltme yolu yapmaktır.

Bununla birlikte, bir düzeltmenin yayınlanmasını beklemek istemeyen kullanıcılar, herkesin görebileceği düzeltmeyi kendileri uygulamayı deneyebilirler .

CNA olarak hareket eden satıcılarla ilgili artan endişeler

Son zamanlarda güvenlik açığı raporlarının sayısı katlanarak artmaya devam ederken, CVE kimlikleri atamakla görevli kar amacı gütmeyen kuruluş MITER, ölçeklenebilirlik zorluklarıyla karşılaştı.

CVE atama ve sorumlu ifşa sürecini hızlandırmak için CVE Numaralandırma Yetkilileri  (CNA’lar) kavramı tanıtıldı.

Bir CNA olarak onaylanan kuruluşlar, güvenlik açığı raporları için CVE atama ve MITER adına sorumlu ifşa sürecini yürütme yetkisine sahiptir.

Ancak son zamanlarda, giderek daha fazla satıcı CNA olmak için adım atıyor ve güvenlik açığı ifşa sürecinin kontrolünü ele alıyor.

Bu, infosec uzmanlarını bu gelişmenin uzun vadede güvenliği gerçekten engelleyip engelleyemeyeceği konusunda endişelendirdi.

The Daily Swig tarafından daha önce bildirildiği üzere , MITRE kuralları uyarınca, bir CNA’nın projelere özel olarak bildirilen ve bazıları kendi ürünlerini de içerebilecek güvenlik açıklarına CVE ataması gerekmez.

Bu, satıcıların en ciddi güvenlik sorunlarını bile hemen bunları kamuya bildirmek zorunda kalmadan sessizce çözebilecekleri anlamına gelir.

Son zamanlarda, bu, VMWare durumunda, PT Swarm araştırmacıları tarafından vCenter’da kimliği doğrulanmamış bir dosya okuma güvenlik açığı rapor edildiğinde ve hemen bir CVE yayınlanmadan VMWare tarafından sessizce yamalandığında meydana geldi.

“Şirketlerin güvenlik açıklarını ciddiye alması ve yamalar tasarlamak için araştırmacılarla birlikte çalışması gerekiyor.”

Henry , bir e-posta röportajında BleepingComputer’a “İletişim ve durum güncellemeleri, araştırmacıları döngüde tutmak için çok önemlidir, bu, gözden kaçabilen ve şeffaflığa zarar verebilecek önemli bir iyileştirme yönüdür – hatta cesaret kırıcıdır,” dedi .

Apache Güvenlik Ekibi, CVE işleme süreçlerinin ayrıntılarını BleepingComputer  ile  paylaştı ; bu, bazen kritik olmayan sorunlar için güvenlik açığı açıklamalarını kısa bir süre geciktirmeyi de içerebiliyor.

“Güvenlik sorunlarının kritik olmadığı durumlarda, bazı projeler diğer sorunların aynı anda ele alınmasına izin vermek için bir sürüm için kısa bir süre bekletecektir.”

“Bu örnekte dikkat edilmesi gereken nokta, sorunu bildiren kişinin ASF güvenlik ekibine gönderdiği her e-postaya bir iş günü içinde yanıt verildi ve muhabir hızlı yanıtımızı övdü, bu nedenle muhabirin bunları hissettiğini öğrendiğimizde biraz şaşırdık.

Bir başka makale: Web Sitenizi Hackerlerden Korumak için 6 Güvenlik İpucu

İlginizi çekebilir:  Play Store'da Yeni Kötü Amaçlı Yazılım Keşfedildi!
Paylaş. Facebook Twitter Pinterestname LinkedIn Tumblr E-posta
Önceki MakaleGalaxy S21, iPhone 12 ve Xiaomi Mi 11 Özellikleri: Aralarındaki Fark Nedir?
Sonraki Makale Facebook, kötü amaçlı Chrome uzantılarının yapımcılarına dava açtı
Siber Basın
  • Facebook
  • Twitter
  • Instagram

Siber dünyada gerçekleşen tüm olayları, hack haberlerini, teknoloji gelişmelerini ve bir çok konuda bilgilendirici makaleleri araştırıp sizler ile paylaşıyorum.

İlgili Yazılar

siber güvenlik açıkları

En Çok Yararlanılan 30 Siber Güvenlik Açıkları (FBI Tarafından Açıklandı)

29 Mart 2022
Penetrasyon testleri

Penetrasyon (Sızma) Testleri Nelerdir?

29 Kasım 2021
security 265130 640

Apple’ın iOS 15’te Birden Fazla Güvenlik Açığını Görmezden Geldiği Söyleniyor!

26 Eylül 2021
Hackerlar Artık Bluetooth Güvenlik Açıklarını Kullanarak Cihazlara Saldırıyor

Hackerlar Artık Bluetooth Güvenlik Açıklarını Kullanarak Cihazlara Saldırıyor

6 Eylül 2021

Yorum Yaz Yanıtı İptal Et

Güncel Haberler
meditation g8ccc0de3d 640

En İyi Meditasyon Uygulamaları

18 Mayıs 2022
CMD Kullanarak İnterneti Hızlandırma

CMD Kullanarak İnterneti Hızlandırma

16 Mayıs 2022
Twitch Reklamlar Nasıl Engellenir?

Twitch Reklamlar Nasıl Engellenir?

4 Mayıs 2022
WhatsApp Sohbetlerini Android Telefondan iPhone Telefona Aktarma

WhatsApp Sohbetlerini Android Telefondan iPhone Telefona Aktarma

23 Nisan 2022
Yapay Zeka

Yapay Zeka Nedir?

23 Nisan 2022
Çok Görüntülenenler
instagram e-posta adresi bulma

İnstagram E-Posta Adresi Nasıl Bulunur?

1 Ağustos 2020
İnstagram Taklitten Kapanan Hesap Nasıl Açılır?

İnstagram Taklitten Kapanan Hesap Nasıl Açılır?

22 Mart 2022
Telefon Hackleme

Ücretsiz En İyi 14 Android Telefon Hackleme Programları

13 Şubat 2022
Formatsız ekran kilidi açma

Formatsız Ekran Kilidi Açma Yöntemleri

20 Şubat 2022
Bedava Discord Nitro Kodları

Bedava Discord Nitro Kodları

4 Şubat 2022
Sosyal Medya
  • Facebook
  • Twitter
  • Instagram
  • YouTube
Hakkımızda
Hakkımızda

Siber Basın, 2019 yılında temelleri atılan, okurlarına siber dünyayı yakından takip etme fırsatı vermek, bilgilendirici konular ile sanal dünyaya hazırlık aşamasında gelişimlerini sağlamakta olanaklar sunmak ve yer altı dünyasının ufuklarını gün yüzüne daha çok ulaştırmak amacıyla belirli kişi veya kişiler tarafından açılmıştır.

Facebook Twitter Instagram Youtube
Sizin İçin Seçtiklerimiz
meditation g8ccc0de3d 640

En İyi Meditasyon Uygulamaları

18 Mayıs 2022
CMD Kullanarak İnterneti Hızlandırma

CMD Kullanarak İnterneti Hızlandırma

16 Mayıs 2022
Twitch Reklamlar Nasıl Engellenir?

Twitch Reklamlar Nasıl Engellenir?

4 Mayıs 2022
Yeni Yorumlar
  • İnstagram Taklitten Kapanan Hesap Nasıl Açılır? için Saadet
  • Android için En İyi 14 Wi-Fi Şifrelerini Kıran Uygulamalar için Hüseyn
  • GeForce Now Bedava Premium Hesap Alma için Taha
  • Hack Dersleri Veren Türk Hack Siteleri için auwadw
  • Anasayfa
  • Gizlilik Politikası
  • Hakkımızda
  • Hack Haberleri
  • Teknoloji Haberleri
  • Siber Güvenlik Haberleri
  • Hacker Grupları
  • Mobil Telefon
  • Yazılım
  • Oyun
  • İnternet
  • Güvenlik Açıkları
  • Windows
  • Reklam Ver
  • İletişim
  • Siber Güvenlik Nedir?
  • Siber suçlarla mücadele polisi nasıl olunur?
  • Siber güvenlik uzmanı olmak için hangi bölüme gidilir?
  • Siber güvenlik uzmanı maaşları ne kadar?
  • Nasıl siber güvenlik uzmanı olunur?
  • Telefon hackleme programları
  • Formatsız ekran kilidi açma
  • Telefon temizleme ve hızlandırma programları
  • Youtube video indirme uygulamaları
  • Fake hesabın kimin olduğunu bulma
  • Snapchat engel kaldırma
  • Discord ses değiştirme programları
  • İnstagram taklitten kapanan hesap açma
  • İphone hackleme
  • İnstagram e-posta bulma
  • Facebook e-posta bulma
  • Twitter e-posta bulma
  • Twitter hesap çalma
  • Facebook hesabı çalma
  • İnstagram hesabı çalma
  • Siber Güvenlik Blog
© 2022 Siber Basın - Teknoloji, Siber Güvenlik ve Hack Haberleri - Tüm Hakları Saklıdır.

Yukarıdakileri yazın ve aramak için Enter tuşlarına basın. İptal etmek için Esc tuşlarına basın.