Hey dostum, işte sana ilginç bir konu! Judge0 adında açık kaynaklı bir çevrimiçi kod yürütme sistemi var ve bu sistemde bir sürü güvenlik açığı bulundu. Avustralyalı siber güvenlik firması Tanto Security’nin raporuna göre, bu açıkların üçü de oldukça kritik seviyedeymiş. Bir saldırganın sanal alanından kaçıp ana makinede kök izinleri alabilmesine kadar giden ciddi bir durum söz konusu.
Bu açıkların detaylarına gelince, birinci açık olan CVE-2024-28185’e göre, bir saldırgan istediği dosyalara yazabilir ve sanal alan dışında kod çalıştırabilir. Diğer açık olan CVE-2024-28189 ise UNIX kullanımından kaynaklanan bir hata ve bu da bir saldırganın kötü niyetli dosyalara erişebilmesine olanak sağlıyor. Son açık olan CVE-2024-29021 ise Judge0’ın zayıf bir yapılandırmasından kaynaklanıyor ve bir saldırganın hedef makinede kök olarak korumalı alansız kod yürütme elde etmesine neden oluyor.
Tabii ki bu açıkların kökeni bir Ruby betiği olan “isulate_job.rb” dosyasından kaynaklanıyor. Bu dosya, korumalı alanda olmayan sistemlerde tehlikeli yazma işlemlerine olanak tanıyarak saldırganlara büyük fırsatlar sunuyor. Neyse ki, bu güvenlik açıkları tespit edildi ve yeni bir güncelleme yayınlandı.
Yani kısacası, Judge0 kullanıcıları için en önemli tavsiye, sistemi güncel tutmak ve her zaman en son sürümü kullanmak. Böylece potansiyel tehditleri minimum seviyeye indirebilir ve güvende kalabilirsin. Güvenlik her zaman önemli, unutma!
